Les guides de gestion des risques sur la vie privée sont disponibles en anglais
RSS CNIL - , 14/11/2012
La CNIL a publié en juillet 2012 deux nouveaux guides sécurité « avancés » composés d’une méthode et d’un catalogue de mesures pour aider les organismes à gérer les risques sur la vie privée. Ces outils opérationnels doivent faciliter l'intégration de la protection de la vie privée dans les traitements à l'aide d'une approche pragmatique, rationnelle et systématique. Pour répondre au besoin des sociétés internationales et des organismes étrangers, la CNIL propose aujourd’hui une version...
La loi informatique et libertés prévoit, dans son article 34, que les responsables de traitement doivent "prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données".
En d’autres termes, chaque responsable doit identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d'adopter une vision globale et d'étudier les conséquences sur les personnes concernées.
Pour aider les PME dans cette étude, la CNIL a publié en 2010un premier guide sécurité dont une traduction en anglais a été publiée en 2011. Ce guide présente sous la forme de fiches thématiques les précautions élémentaires à mettre en place pour les traitements de données à caractère personnel. Il atteint cependant ses limites lorsqu'il s'agit d'étudier des traitements complexes ou pour lesquels les risques sont élevés.
Les deux nouveaux guides de la CNIL ont pour objectif d'aider à la mise en place d'une démarche d'analyse complète pour les traitements complexes. Ils s'adressent ainsi aux responsables de traitements, maîtrises d'ouvrage, maîtrises d'œuvre, correspondants "informatique et libertés" et responsables de la sécurité des systèmes d'information. Ils les aident à avoir une vision objective des risques engendrés par leurs traitements, de manière à choisir les mesures de sécurité, organisationnelles et techniques, nécessaires et suffisantes.
Ils se composent :
d'une méthode de gestion des risques sur les libertés et la vie privée d'un ensemble détaillé de mesures et de bonnes pratiques destinées à traiter les risques identifiés avec la méthode.
Une étude de cas sur la gestion des patients d'un cabinet de médecine du travail, réalisée par le Club EBIOS, illustre une application de ces outils.
En d’autres termes, chaque responsable doit identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d'adopter une vision globale et d'étudier les conséquences sur les personnes concernées.
Pour aider les PME dans cette étude, la CNIL a publié en 2010
Les deux nouveaux guides de la CNIL ont pour objectif d'aider à la mise en place d'une démarche d'analyse complète pour les traitements complexes. Ils s'adressent ainsi aux responsables de traitements, maîtrises d'ouvrage, maîtrises d'œuvre, correspondants "informatique et libertés" et responsables de la sécurité des systèmes d'information. Ils les aident à avoir une vision objective des risques engendrés par leurs traitements, de manière à choisir les mesures de sécurité, organisationnelles et techniques, nécessaires et suffisantes.
Ils se composent :
Une étude de cas sur la gestion des patients d'un cabinet de médecine du travail, réalisée par le Club EBIOS, illustre une application de ces outils.