La CNIL (Commission nationale de l'informatique et des libertés) a récemment publié l'édition 2023 de son guide de la sécurité des données personnelles, destiné à tous les professionnels amenés à utiliser des données personnelles. Ce guide, qui se veut une référence en matière de sécurité, rassemble 17 fiches rappelant les précautions élémentaires à prendre et oriente vers les mesures destinées à renforcer davantage la protection des données, le tout en respectant le RGPD. Pour cette nouvelle édition, la CNIL a actualisé son guide en y intégrant les recommandations adoptées au cours des dernières années. Sur les 17 fiches du document, 5 ont été modifiées.
Parmi les changements majeurs de cette nouvelle version, on retrouve des mises à jour concernant "les mots de passe et secrets partagés" ainsi que "la journalisation".
Dans sa fiche n°2 "Authentifier les utilisateurs", la CNIL intègre la notion d'entropie du mot de passe. L'entropie mesure le niveau d'imprédictibilité théorique du mot de passe, c'est-à-dire sa "capacité de résistance à une attaque de force brute". La CNIL recommande trois niveaux d'entropie :
Dans la fiche n°4 "Tracer les opérations et gérer les incidents", la CNIL recommande, en tant que précaution élémentaire, de "prévoir un système de journalisation" permettant l'enregistrement "des activités métier des utilisateurs, des interventions techniques, des anomalies et des événements liés à la sécurité".
La CNIL souligne également la nécessité de conserver ces éléments pour une période glissante de six mois à un an, en veillant à bien protéger ces données ainsi que les équipements de journalisation, et en informant les utilisateurs.
La CNIL a également modifié trois autres fiches. La fiche n°12 "Encadrer des développements informatiques" a été enrichie avec les éléments du guide RGPD pour l'équipe de développement, publié fin 2021. Quant aux fiches n°15 et n°17, elles ont été mises à jour en tenant compte de l'évolution des pratiques, notamment en ce qui concerne les algorithmes à utiliser.
Ce guide a pour but d'accompagner les acteurs traitant des données personnelles en rappelant les précautions élémentaires à mettre en œuvre. Il s'adresse à l'ensemble des professionnels et vise à les aider dans la mise en place de mesures de sécurité adéquates pour la protection des données personnelles.
Outre les mises à jour mentionnées précédemment, le guide de la CNIL comporte également des fiches couvrant d'autres aspects de la sécurité des données personnelles. Parmi celles-ci, on retrouve des conseils sur :
En suivant les recommandations du guide de la CNIL, les professionnels pourront ainsi mettre en place des mesures de sécurité adaptées et garantir une protection optimale des données personnelles qu'ils traitent.
Le guide de la CNIL sur la sécurité des données personnelles est un outil précieux pour les professionnels traitant des données personnelles. Avec l'édition 2023, la CNIL a pris soin de mettre à jour et d'enrichir certaines fiches, en tenant compte des évolutions récentes en matière de sécurité et des retours d'expérience des professionnels. Les recommandations et conseils proposés permettront aux acteurs concernés de mieux protéger les données personnelles et de se conformer au RGPD.
Pour consulter l'intégralité du guide de la CNIL et bénéficier de toutes les recommandations, n'hésitez pas à télécharger le guide.