Une nouvelle version du Guide pratique RGPD - Sécurité des données personnelles de la Cnil informe sur les dernières recommandations en matière de mots de passe et de journalisation. La parution rappelle également les précautions élémentaires à mettre en œuvre en matière de données personnelles.
La Cnil livre une nouvelle version de son Guide de la sécurité des données personnelles
Adressé aux professionnels amenés à utiliser des données personnelles, en particulier aux responsables de traitement des données personnelles et sous-traitants visés par l’article 32 du RGPD, le Guide de la Commission nationale de l’informatique et des libertés (Cnil) mentionne les précautions basiques à prendre en la matière. Celui-ci comporte aussi de nouvelles mesures pour une protection renforcée des données.
Télétravail, café, train
Dix-sept fiches fournissent des éclairages et quelques changements sur les règles de sécurité à respecter dans la gestion des données personnelles. Parmi les principales nouveautés, se trouve une nouvelle recommandation adoptée en 2022 par la Cnil, relative aux mots de passe et autres secrets partagés. Celle-ci abandonne notamment l’obligation de renouvellement des mots de passe pour les comptes utilisateurs "classiques". La fiche 6 évoque la sécurité de "l’informatique mobile", une question prédominante à l’heure du développement des pratiques de travail en dehors des locaux de l’entreprise, comme le télétravail dans des lieux publics : cafés, trains…, de l’utilisation massive d'ordinateurs portables ou de smartphones, à l’origine de risques bien spécifiques.
La Commission recommande par ailleurs de sensibiliser les utilisateurs aux vols de matériel informatique ou aux dangers liés à la connexion à des réseaux non maîtrisés, notamment publics. Elle propose des mesures concrètes, comme celles d’éviter de discuter ligne d’informations sensibles dans des lieux publics ou d’utiliser un filtre de confidentialité sur son écran. Les sauvegardes régulières sont encouragées pour limiter l’impact d’une disparition ou d’une altération non désirée de données. Pour être en mesure de réagir en cas de violation des données personnelles, le guide préconise la mise en place d’un dispositif de gestion des traces et des incidents.
Audits de sécurité
Le but de cette parution ? Aider les entités gérant des données personnelles à éviter "trois évènements redoutés" que sont l’accès illégitime à des données, la modification non désirée de données ou encore leur disparition. En guise d’illustration de ces situations, la Cnil cite le cas de "l’usurpation d’identité consécutive à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise" ou de celui de la "non-détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient". Enfin, le gendarme des données personnelles recommande de procéder régulièrement à des audits de sécurité et de prévoir un budget pour financer cette études des risques.
A.-L. Blouin