5 ans après la publication de son guide sur la sécurité des données personnelles, la CNIL vient de publier une nouvelle version.
Conformément à l’article 32 du RGPD « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Pour aider lesdits responsables du traitement et sous-traitants à mettre en œuvre les mesures de sécurité appropriées, la CNIL a élaboré en janvier 2018 un « guide pratique sur la sécurité des données personnelles ». En avril 2023, ce guide a été mis à jour afin de prendre en compte les recommandations émises ces 5 dernières années.
Cette nouvelle version est toujours scindée en 17 « fiches » thématiques qui rappellent les « précautions élémentaires » et insistent sur « ce qu’il ne faut pas faire ».
On peut citer, parmi les principales modifications :
- La fiche n°2 « Authentifier les utilisateurs » qui prend en compte la nouvelle recommandation relative aux mots de passe de 2022 ;
- La fiche n°4 « Tracer les opérations et gérer les incidents » qui prend en compte la recommandation relative à la journalisation de 2021 ;
- La fiche n°12 « Encadrer les développements informatiques » qui prend en compte le guide RGPD pour l’équipe de développement de 2021 ;
- Plus largement, les fiches n° 15 « Sécuriser les échanges avec d’autres organismes » et n° 17 « Chiffrer, hacher ou signer » ont été actualisées pour suivre l’évolution des pratiques et recommandations actuelles.
D’autres mises à jour et améliorations plus ponctuelles ont été apportées. Pour en savoir plus :https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_des_donnees_personnelles-2023.pdf