La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 26 mars 2024, une nouvelle version de son « Guide de la sécurité des données personnelles », dont l’édition précédente remontait à mars 2023.
Ce guide comporte un ensemble de "préconisations" pour "se mettre en conformité avec l’article 32 du RGPD", lequel prévoit que "le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ".
I. Ce qui n'a pas changé ...
Certains éléments de ce guide n’ont pas changé :
1) Les fiches sont toujours composées de la même façon. Elles commencent par une présentation de la préconisation de l'autorité de contrôle, suivie d'une rubrique "Les précautions élémentaires", puis de " Ce qu’il ne faut pas faire" et enfin d'une rubrique "Pour aller plus loin";
2) 16 des 17 fiches de l'ancienne version ont été reprises dans celle-ci (sur la fiche n°11 non reprise voir infra);
3) La fiche d’autoévaluation du niveau de sécurité d'un organisme figure toujours à la fin du guide sous la forme, très utile, de check-list.
II. Les nouveautés majeures
Dans sa nouvelle mouture, le guide - qui compte désormais 25 fiches contre 17 fiches dans l’édition précédente - est découpé en 5 chapitres : "les utilisateurs", "mon informatique, mes équipements", "ma maitrise des données", "se préparer à un incident", et "focus".
Ce chapitre "focus" a au moins deux particularités. D’une part, il traite de thématiques d’actualités qui sont le cloud (fiche n°22), les applications mobiles (fiche n°23), l’intelligence artificielle (fiche n°24) et enfin la sécurité des données partagées via API (fiche n°25). D’autre part, il compte une fiche n°20 intitulée "Analyse de risques" qui correspond au contenu de l'avant-propos de l'ancienne version du guide. On notera que l'identification des risques est donc devenu l'une des 25 recommandations et n'occupe plus la première place du guide dont l'avant-propos est désormais élargi à la sécurité.
Par ailleurs, l’ancienne fiche n° 11 "Archiver de manière sécurisée" a été totalement supprimée du guide. On remarquera au passage que l’article "Archivage électronique… comment le sécuriser" a également été supprimé du site de l’ANSSI (l'agence nationale de la sécurité des systèmes d’information). Il existe néanmoins une norme AFNOR NF Z42-013, mise à jour en 2020, concernant l’archivage électronique.
Enfin, en complément de ce guide, la CNIL a élaboré un journal des modifications qui permettra à chacun de consulter les autres modifications apportées au document.
En définitive, ce guide, plus clair et plus précis, est un précieux outil pour aider les entreprises, administrations et associations à mettre en place des mesures de sécurité permettant d'assurer la protection des données personnelles qu'ils traitent.
Jessy Pollux, Avocate et DPO