La CNIL publie une nouvelle version de son guide de la sécurité des données personnelles

03 avril 2023

Ce guide a pour but d’accompagner les acteurs traitant des données personnelles en rappelant les précautions élémentaires à mettre en œuvre. Cette nouvelle version prend notamment en compte les dernières recommandations de la CNIL en matière de mots de passe et de journalisation.

Quel est le contenu du guide ?

L’obligation de sécurité, inscrite dans la loi depuis 45 ans, a été renforcée par le RGPD. Or, il est parfois difficile, lorsque l’on n'est pas familier avec les méthodes de gestion des risques, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été fait.

- Article 32 du RGPD

Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

À travers 17 fiches, le guide de la sécurité des données personnelles de la CNIL rappelle aussi bien les précautions élémentaires qui devraient être mises en œuvre de façon systématique que les mesures destinées à renforcer davantage encore la protection des données. Ce guide constitue une référence en matière de sécurité.

Quelles sont les nouveautés de l’édition 2023 ?

Pour cette édition, les changements principaux concernent les fiches suivantes :

• La fiche n° 2 « Authentifier les utilisateurs » prend en compte la nouvelle recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL. En particulier, elle reprend la notion d’entropie du mot de passe pour offrir une plus grande liberté dans la définition de politiques de mots de passe et abandonne l’obligation de renouvellement des mots de passe pour les comptes utilisateurs 'classiques'.
• La fiche n° 4 « Tracer les opérations et gérer les incidents » prend en compte la recommandation relative à la journalisation adoptée en 2021. Elle explique comment assurer une traçabilité des accès et actions dans des systèmes multi-utilisateurs tout en trouvant l’équilibre entre sécurité, surveillance et risques associés.
• La fiche n°12 « Encadrer les développements informatiques » a également été enrichie d’éléments venant du guide RGPD pour l’équipe de développement.
• Enfin, les fiches n° 15 « Sécuriser les échanges avec d’autres organismes » et n° 17 « Chiffrer, hacher ou signer »  ont été actualisées pour tenir compte de l’évolution des pratiques actuellement recommandées.

D’autres mises à jour et améliorations plus ponctuelles ont été apportées pour suivre l’évolution de la menace et des connaissances.

À qui s’adresse ce guide ?

Ce guide s’adresse à l’ensemble des professionnels amenés à utiliser des données personnelles. Le responsable de l’organisme, ainsi que ses équipes en charge de la protection des données et de la sécurisation de l’information y trouveront les différentes thématiques à aborder et un ensemble de mesures à mettre en œuvre.