Qu’apporte de nouveau le guide de sécurité des données personnelles de la CNIL dans sa version 2024 ?

La CNIL a publié le 26 mars 2024 la nouvelle édition 2024 de son Guide de la sécurité des données personnelles accessible au lien suivant.

Cette édition apporte de nombreux ajouts en comparaison avec l’édition de 2023, et introduit la création de 5 fiches thématiques sur les sujets suivants :

Au-delà de ces nouvelles Fiches, la CNIL opère des mises à jour et modifications des Fiches déjà existantes pour apporter des précisions et préciser ses recommandations tenant compte de ce que l’on a coutume d’appeler l’état de la technique lequel implique le besoin quotidien pour le responsable du système d’information de s’adapter aux évolutions technologiques auxquels fait face son système d’information.

A l’image de l’adage selon lequel nul n’est censé ignorer la loi, la CNIL pourra valablement opposer, au responsable de traitement qu’elle contrôle, l’existence du présent guide comme faisant partie de son niveau d’exigence affiché et lui reprocher ainsi de ne pas être parvenu à l’atteindre selon la nature des données qu’il traite.

C’est en partie le sens de l’article 32.1 du RGPD applicable au responsable de traitement qui dispose que :  «  Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Le Guide fait figure de mesures appropriées au sens du RGPD et le responsable de traitement ne peut valablement prétendre ne pas le connaître qu’il soit ou non accompagné par un service juridique, un cabinet d’avocats ou encore un délégué à la protection des données.

Ces nouvelles Fiches intégrées au sein du Guide reprennent plusieurs fiches et recommandations de la CNIL elle-même, mais également celles d’autres autorités (ANSSI, ANS, CEPD).

En débutant le guide par cette première fiche, la CNIL insiste sur le fait qu’il est nécessaire de prendre en compte la protection des données personnelles dans le processus de décision de l’organisme et d’impliquer la direction.

Parmi les préconisations du guide, il est recommandé de définir un plan d’action relatif à la sécurité informatique et mettre en place les mesures techniques et organisationnelles permettant d’assurer la protection des données personnelles.

L’effectivité de ces mesures doit être périodiquement contrôlée et un suivi avec la direction doit être réalisé en termes de gestion des risques informatiques.

L’autorité nationale de protection des données souhaite insister sur le fait que la sécurité n’est pas un problème accessoire et que se limiter à des actions ponctuelles n’est pas suffisant.

La CNIL rappelle que le fournisseur de services cloud comme le client y ayant recours se doivent de sécuriser les données et traitements dans le cloud.

Ce fournisseur doit être à même de présenter des garanties suffisantes à la mise en œuvre de mesures de sécurité, tandis que le client doit protéger ses données et traitements des tiers, comme du fournisseur.

Ainsi, le client doit être vigilant et se renseigner sur le niveau de sécurité proposé par son fournisseur en vérifiant que les acteurs impliqués dans la fourniture du service cloud maintiennent le niveau de sécurité recherché.

Il est précisé que le client doit appliquer les précautions élémentaires aux traitement réalisés dans le cloud (chiffrage de données, contrôle des accès et autorisations, authentification des utilisateur, réalisation de sauvegardes…).

Le guide établit les précautions élémentaires en matière d’informatique en nuage en revenant notamment sur la nécessité de cartographier les données et traitement dans le cloud, d’évaluer les besoins en sécurité des traitements concernés, de prendre en compte ces services de cloud dans l’analyse des risques mais également dans les plans de continuité ou de reprise de l’activité (PCA/PCR).

La CNIL insiste aussi sur le fait qu’il est nécessaire de formaliser les obligations de sécurité et la répartition des responsabilités entre le fournisseur et son client à l’occasion d’un contrat.

Le guide fait référence au fait que pour des raisons de sécurité, il serait adéquat de privilégier des fournisseurs adhérant à des codes de conduite RGPD tels que le code CISPE ou le code EU cloud ; ou bien envisager le recours à un fournisseur qualifié de SecNumCloud par l’ANSSI. Pour les données de santé, il convient selon elle de recourir à un hébergeur de donnée de santé certifié.

Consciente que les applications mobiles impliquent souvent le traitement de données personnelles, la CNIL attire l’attention du lecteur sur la nécessité pour les éditeurs de sécuriser ces traitements et d’être transparent envers les utilisateurs concernés.

Le guide insiste donc sur le principe de minimisation des traitements de données personnelles pour qu’ils soient nécessaires au fonctionnement de l’application, et recommande de laisser aux utilisateurs des alternatives ne reposant pas sur le traitement de données personnelles. Elle donne l’exemple de la collecte de données de géolocalisation pouvant être substituée par une saisie manuelle d’une adresse spécifique.

Il est également considéré comme des précautions élémentaires le fait de sécuriser les communications, de stocker les secrets cryptographiques par empaquetage et de recourir à un moyen d’authentification adapté au niveau de sécurité recherché.

Le guide précise enfin qu’il est nécessaire de prendre en compte la possibilité que le système d’exploitation effectue des sauvegardes automatiques de données personnelles et de les désactiver ou chiffrer les données concernées.

Les éditeurs de ces applications doivent donc se rendre compte qu’il est nécessaire dès le stade du développement de formaliser les mesures techniques et objectifs attendus en termes de sécurité des données dans un contrat.

Que ce soit en raison du volume important de données d’entrainement ou de la complexité du système que l’on souhaite mettre en place, le nouveau guide insiste sur le fait que le développement d’un système d’intelligence artificielle nécessite la mise en place de mesures de sécurité spécifiques.

La CNIL inscrit cette nouvelle édition du guide 2024 dans le prolongement des fiches qu’elle a pu rédiger au sujet de l’intelligence artificielles.

Parmi les précautions élémentaires, le guide revient à la fois sur des recommandations techniques mais également organisationnelles telles que la constitution d’une équipe aux compétences pluridisciplinaires, ou une procédure de supervision humaine du système d’IA. 

Le guide préconise de vérifier la qualité des données et annotations, l’éventuelle présence de biais, la fiabilité des données, de ne pas copier partiellement ou totalement des bases de données et de prévoir une procédure obligatoire pour le développement et l’intégration continus et un plan d’audit du système.

Parmi les choses déconseillées, le guide insiste notamment sur le fait qu’il est nécessaire de vérifier la qualité des sorties, lesquelles pourraient occasionner des difficultés (contenus haineux, diffamants…).

Le guide rappelle que le recours aux API constitue une bonne pratique en ce qu’elles peuvent contribuer à fiabiliser, minimiser et sécuriser les échanges.

Ce guide s’inscrit dans les recommandations de la CNIL de fin 2023.

Néanmoins il est précisé qu’il ne faut pas conserver les anciennes versions d’une API actives en ce que le niveau de sécurité attendu n’est plus maintenu et de ne pas négliger la sécurité des clés d’accès aux API.

La CNIL met à disposition des praticiens et personnes intéressées un guide des modifications réalisées dans sa nouvelle édition 2024 en comparatif avec la dernière édition de 2023. Ce guide est accessible au lien suivant.

Parmi les Fiches de l’édition 2023, celles-ci sont toutes reprises dans la nouvelle version du guide à l’exception de celle au sujet de l’archivage sécurisé des données personnelles qui a été supprimée.

En comparant avec l’édition 2023, les mises à jour les plus importantes sont reprises ci-dessous :

Le guide précise qu’organiser des exercices et des simulations d’incidents de sécurité informatiques permettent de vérifier la bonne prise en compte des consignes et l’efficacité des procédures internes.

La CNIL estime que les campagnes de sensibilisation doivent être adaptées aux fonctions des destinataires et qu’une formation des personnels en charge des outils informatiques à la sécurité informatique et à la protection des données personnelles est nécessaire.

Le guide insiste encore sur l’idée qu’il est nécessaire d’orienter les utilisateurs vers le choix d’un mot de passe qualifié de « robuste », ce qui correspond à l’authentification « forte » évoquée par l’édition de 2023.

La CNIL ajoute, en renvoyant à ses recommandations, qu’il est nécessaire de stocker uniquement l’empreinte des mots de passe et de communiquer sur les pratiques interdites.

Parmi les mises à jour apportées à l’édition de 2023, la CNIL ajoute parmi les précautions élémentaires le contrôle de l’accès à l’informatique mobile et la mise à disposition des utilisateurs des espaces de stockage partagés accessibles en nomadisme.

Le guide intègre notamment des précisions quant à la pratique du « Bring your own device » ou BYOD pour insister sur le fait que cette pratique ne doit être autorisée qu’en fonction des risques identifiés et doit être encadrée par un système de gestion des appareils mobiles.

Ce nouveau guide ajoute parmi les précautions élémentaires le fait de cloisonner le réseau pour réduire l’impact en cas de compromission et de privilégier le protocole SSH ou un accès direct pour l’administration des équipements réseau.

La dernière édition du guide insiste sur la nécessité de sécuriser les flux d’échange de données par l’utilisation de TLS en obtenant des certificats aux niveaux adaptés.

La CNIL recommande de se prémunir contre les attaques les plus courantes sur les sites web référencées dans le Top 10 OWASP[1] et d’intégrer les options « HttpOnly » et « Secure » dans tous les cookies utilisés.

Pour finir l’autoévaluation mise à disposition des entreprises est adaptée au nouveau contenu du guide.

A l’aune de ce nouveau Guide de sécurité des données personnelles, il apparait donc important pour toute personne susceptible de réaliser des traitements de données personnelles de prendre en compte les mises à jour de la CNIL sur les différents sujets afin de s’assurer d’être toujours en conformité et de respecter à minima les précautions élémentaires édictées.

Parce que nul n’est censé ignorer…la CNIL…et son guide.

Sadry PORLON (Avocat Fondateur) et Vicky BOUCHER (Avocate Collaboratrice)