La CNIL, afin d’aider les professionnels dans leur mise en conformité avec le RGPD et notamment son article 32, a publié un guide rappelant les précautions élémentaires à mettre en œuvre de manière systématique en matière de sécurité des données personnelles.
Le RGPD, en son article 32, impose au responsable du traitement et au sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité « adapté au risque ». Sous l’empire de la loi du 6 janvier 1978 et de son article 34, cette obligation incombe au seul responsable du traitement.
La sécurité des données personnelles est donc une préoccupation majeure au sein du RGPD, d’autant plus que celui-ci introduit en son article 35 la notion d’analyse d’impact relative à la protection des données, cette analyse d’impact contenant une appréciation des risques et les mesures envisagées pour traiter ces risques et se conformer au règlement.
Dans son guide sur la sécurité des données personnelles composé de 17 fiches, la CNIL préconise de suivre, lors du processus de mise en conformité, quatre étapes :
- recenser les traitements et les supports des données : matériels, logiciels, canaux de communication, supports papier ;
- apprécier les risques engendrés par chaque traitement :
- en identifiant les impacts potentiels sur les droits et libertés des personnes concernées d’un accès illégitime à des données, d’une modification non désirée des données et d’une disparition des données ;
- en identifiant les sources de risque ;
- en identifiant les menaces réalisables ;
- en déterminant les mesures existantes ou prévues permettant de traiter chaque risque ;
- en estimant la gravité et la vraisemblance des risques, au regard des éléments précédents ;
- mettre en œuvre et vérifier les mesures prévues : si les mesures existantes sont jugées appropriées il faut également s’assurer qu’elles soient appliquées et contrôlées ;
- faire réaliser des audits de sécurité périodique, ces audits étant suivis d’un plan d’action dont la mise en œuvre devrait être suivie au plus haut niveau de l’organisme.
Au titre de la sensibilisation des utilisateurs, la CNIL conseille notamment d’informer et de sensibiliser les personnes manipulant les données, de rédiger une charte informatique et de lui donner une force contraignante.
Pour sécuriser l’informatique mobile, la CNIL recommande l’utilisation de moyens de chiffrement des équipements mobiles, une sauvegarde ou synchronisation régulière des données et l’exigence d’un secret pour le déverrouillage des smartphones.
Le réseau informatique interne devrait être protégé, en limitant les flux réseau au stricte nécessaire, en sécurisant les accès distants des appareils informatiques nomades par VPN et en mettant en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi.
En matière de sous-traitance, la CNIL préconise d’introduire une clause spécifique dans le contrat, de prévoir des conditions de restitution et de destruction des données et de s’assurer de l’effectivité des garanties prévues (audit de sécurité, visites, etc.).
Le guide contient également des préconisations concernant l’authentification des utilisateurs, la gestion des habilitations, le traçage des accès et la gestion des incidents, la sécurisation des poste de travail, la sécurisation des serveurs et des sites web, les sauvegardes, l’archivage sécurisé, la maintenance et la destruction des données, la sécurisation des échanges avec d’autres organismes, la protection des locaux, l’encadrement des développements informatiques et l’utilisation de fonctions cryptographiques.