Deux nouveaux guides sécurité pour gérer les risques sur la vie privée
RSS CNIL - , 4/07/2012
Après le guide sécurité destiné aux PME et présenté en 2010, la CNIL publie deux guides sécurité "avancés". Ils se composent d'une méthode et d'un catalogue de mesures pour aider les organismes à gérer les risques sur la vie privée. Ces outils opérationnels doivent faciliter l'intégration de la protection de la vie privée dans les traitements à l'aide d'une approche pragmatique, rationnelle et systématique.
La loi informatique et libertés prévoit, dans son article 34, de "prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données".
Chaque responsable doit donc identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d'adopter une vision globale et d'étudier les conséquences sur les personnes concernées.
Pour aider les PME dans cette étude, la CNIL a publié en 2010 un premier guide sécurité. Celui-ci présente sous forme de fiches thématiques les précautions élémentaires à mettre en place pour améliorer la sécurité d'un traitement de données à caractère personnel. Il atteint cependant ses limites lorsqu'il s'agit d'étudier des traitements complexes ou aux risques élevés.
Les deux nouveaux guides de la CNIL ont pour objectif d'aider à la mise en place d'une démarche d'analyse complète, permettant d'améliorer la maîtrise des traitements complexes. Ils s'adressent ainsi aux responsables de traitements, maîtrises d'ouvrage, maîtrises d'œuvre, correspondants "informatique et libertés" et responsables de la sécurité des systèmes d'information. Ils les aident à avoir une vision objective des risques engendrés par leurs traitements, de manière à choisir les mesures de sécurité nécessaires et suffisantes.
Ils se composent :
- d'une méthode pour identifier et traiter les risques que les traitements de données à caractère personnel peuvent faire peser sur les personnes ;
- d'un ensemble détaillé de mesures et de bonnes pratiques destinées à traiter les risques identifiés.
Le catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :
- les "éléments à protéger" : minimiser les données, chiffrer, anonymiser, permettre l'exercice des droits…
- les "impacts potentiels" : sauvegarder les données, tracer l'activité, gérer les violations de données…
- les "sources de risques" : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
- les "supports" : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…