Guide de la CNIL 2023 : Sécurité des données personnelles et mises à jour des recommandations

Publié le
7 avril 2023
Temps de lecture estimé
4 minutes

La CNIL (Commission nationale de l'informatique et des libertés) a récemment publié l'édition 2023 de son guide de la sécurité des données personnelles, destiné à tous les professionnels amenés à utiliser des données personnelles. Ce guide, qui se veut une référence en matière de sécurité, rassemble 17 fiches rappelant les précautions élémentaires à prendre et oriente vers les mesures destinées à renforcer davantage la protection des données, le tout en respectant le RGPD. Pour cette nouvelle édition, la CNIL a actualisé son guide en y intégrant les recommandations adoptées au cours des dernières années. Sur les 17 fiches du document, 5 ont été modifiées.

Entropie des mots de passe et journalisation : les recommandations de la CNIL

Parmi les changements majeurs de cette nouvelle version, on retrouve des mises à jour concernant "les mots de passe et secrets partagés" ainsi que "la journalisation".

L'entropie du mot de passe

Dans sa fiche n°2 "Authentifier les utilisateurs", la CNIL intègre la notion d'entropie du mot de passe. L'entropie mesure le niveau d'imprédictibilité théorique du mot de passe, c'est-à-dire sa "capacité de résistance à une attaque de force brute". La CNIL recommande trois niveaux d'entropie :

  1. Entropie de 80 bits : un mot de passe de 12 caractères minimum, avec majuscules, minuscules, chiffres et caractères spéciaux ou de 14 caractères sans caractère spécial, sans mesure complémentaire, pour un compte sur un blog ou forum par exemple.
  2. Entropie de 50 bits : dans le cas où des mesures complémentaires, comme un blocage ou une temporisation après échecs, la présence d'un captcha, sont mises en place, pour un compte d'entreprise par exemple.
  3. Entropie de 13 bits : dans le cas d'un matériel détenu par l'utilisateur, avec blocage après trois tentatives échouées.

La journalisation

Dans la fiche n°4 "Tracer les opérations et gérer les incidents", la CNIL recommande, en tant que précaution élémentaire, de "prévoir un système de journalisation" permettant l'enregistrement "des activités métier des utilisateurs, des interventions techniques, des anomalies et des événements liés à la sécurité".

La CNIL souligne également la nécessité de conserver ces éléments pour une période glissante de six mois à un an, en veillant à bien protéger ces données ainsi que les équipements de journalisation, et en informant les utilisateurs.

Actualisations et nouveautés du guide

La CNIL a également modifié trois autres fiches. La fiche n°12 "Encadrer des développements informatiques" a été enrichie avec les éléments du guide RGPD pour l'équipe de développement, publié fin 2021. Quant aux fiches n°15 et n°17, elles ont été mises à jour en tenant compte de l'évolution des pratiques, notamment en ce qui concerne les algorithmes à utiliser.

Ce guide a pour but d'accompagner les acteurs traitant des données personnelles en rappelant les précautions élémentaires à mettre en œuvre. Il s'adresse à l'ensemble des professionnels et vise à les aider dans la mise en place de mesures de sécurité adéquates pour la protection des données personnelles.

Autres recommandations du guide de la CNIL

Outre les mises à jour mentionnées précédemment, le guide de la CNIL comporte également des fiches couvrant d'autres aspects de la sécurité des données personnelles. Parmi celles-ci, on retrouve des conseils sur :

  • La sécurisation des postes de travail et des terminaux mobiles
  • La gestion des droits d'accès aux données et aux applications
  • La sécurisation des échanges et des transferts de données
  • La sauvegarde et la restauration des données
  • La sécurisation des infrastructures réseau et des services associés
  • La mise en place de processus de veille et d'alerte sur les vulnérabilités et les menaces
  • L'évaluation des risques liés à la sécurité des données personnelles et la mise en place de mesures de protection adaptées

En suivant les recommandations du guide de la CNIL, les professionnels pourront ainsi mettre en place des mesures de sécurité adaptées et garantir une protection optimale des données personnelles qu'ils traitent.

Conclusion

Le guide de la CNIL sur la sécurité des données personnelles est un outil précieux pour les professionnels traitant des données personnelles. Avec l'édition 2023, la CNIL a pris soin de mettre à jour et d'enrichir certaines fiches, en tenant compte des évolutions récentes en matière de sécurité et des retours d'expérience des professionnels. Les recommandations et conseils proposés permettront aux acteurs concernés de mieux protéger les données personnelles et de se conformer au RGPD.

Pour consulter l'intégralité du guide de la CNIL et bénéficier de toutes les recommandations, n'hésitez pas à télécharger le guide.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Orenji Solutions Digitales
© 2023 Orenji.fr – Toutes les marques de commerce et éléments assujettis au copyright figurant sur ce site appartiennent à leurs propriétaires respectifs.
envelopelicenseleaf
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram