CNIL: sécurité et gestion des risques

Un organisme public ou une entreprise qui collecte, utilise ou communique des données à caractère personnel doit assurer la sécurité de celles-ci. Pour ce faire, "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès" (art. 34 Loi Informatique et Libertés).

Pour aider le responsable du traitement à respecter cette obligation, la Commission nationale de l'informatique et des libertés (CNIL) vient de publier deux guides qui viennent compléter celui paru en 2010. Retour en arrière.

2010: La CNIL publie un guide intitulé La sécurité des données personnelles composé de 17 fiches thématiques s'adressant "à tout responsable de traitement ainsi qu'à toute personne disposant d'un minimum de connaissances informatiques (administrateur système, développeur, responsable de la sécurité des systèmes d'information, utilisateur ...) et souhaitant évaluer le niveau de sécurité dont doit bénéficier tout traitement de données à caractère personnel" (p. 1). La CNIL y rappelle ce qu'est un risque

"un risque est un scénario qui combine une situation crainte (atteinte de la sécurité des traitements et ses conséquences) avec toutes les possibilités qu'elle survienne (menaces sur les supports des traitements). On estime son niveau en termes de gravité (ampleur et nombre des impacts) et de vraisemblance (possibilité/probabilité qu'il se réalise)" (p. 6).

Pour chacune des fiches, la CNIL indique les précautions à prendre, ce qu'il faut éviter de faire et donne des pistes pour aller plus loin. Ces fiches portent notamment sur l'authentification des utilisateurs, la sécurité des postes de travail, des locaux, du réseau informatique, la maintenance, l'informatique mobile, la sous-traitance, l'échange d'informations avec d'autres organismes, l'anonymisation ou encore le chiffrement.

La même année, la CNIL propose un quiz sur la sécurité qui permet aux responsables de traitement "de faire le point sur les mesures prises et celles qui restent à prendre pour mieux protéger les données personnelles".

2012: La CNIL publie deux guides: le premier est une méthode, le second est un catalogue de bonnes pratiques.

Le premier intitulé Gérer les risques sur les libertés et la vie privé "présente une méthode pour gérer les risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur les personnes concernées" (p. 3).

Il y est rappelé que les "risques sont composés d'un évènement redouté (que craint-on ?) et de toutes les menaces qui le rendent possible (comment cela peut-il arriver ?)" (p. 5). Parmi les évènements redoutés, on retrouve la modification du traitement, l'accès illégitime aux données, leur modification ou encore leur perte. Les menaces quant à elles peuvent provenir de personnes internes ou externes à l'organisme ou de virus informatique, de catastrophe naturelle. Ces menaces sont accidentelles ou délibérées. Elles peuvent conduire à un détournement d'usage, un espionnage ou encore à une détériorations des supports.

Le responsable du traitement doit donc évaluer le niveau de risque, lequel "est estimé en termes de gravité ["elle dépend essentiellement du caractère identifiant des DCP et du caractère préjudiciables des impacts potentiels"] et de vraisemblance [elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter"]" (p. 7).

Et pour pouvoir évaluer adéquatement un risque, "employer une démarche de gestion des risques est la manière la plus sûre de garantir l'objectivité et la pertinence des choix à effectuer lors de la mise en place d'un traitement." (p. 8).

Le guide propose une démarche en cinq étapes:

• étude du contexte: de quoi parle-t-on ? 
• éléments/supports à protéger, bénéfices du traitement, sources de risques, références à respecter.(p. 9-10)
• étude des évènements redoutés: que craint-on qu'il arrive ? 
• détermination des impacts potentiels, estimation du caractère identifiant / préjudiciable (négligeable, limité, important, maximal), gravité. (p. 11-13)
• étude des menaces: comment cela peut-il arriver ? (si besoin) 
• estimation de la vulnérabilité des supports et des capacités des sources de risques (négligeable, limité, important, maximal), vraisemblance. (p. 14-16)
• étude des risques: quel est le niveau des risques ? (si besoin)
• études des mesures: que peut-on faire pour traiter les risques ?
• déterminer les mesures existantes ou prévues, ré-estimer la gravité et la vraisemblance des risques résiduels, expliquer pourquoi les risques résiduels peuvent être acceptés (p. 19-22)

Le second intitulé Mesures pour traiter les risques sur les libertés et la vie privée "est un catalogue de bonnes pratiques destinées à traiter les risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur les libertés et la vie privée des personnes concernées. Il complète la méthode de gestion des risques sur les libertés et la vie privée de la CNIL. Il aide à déterminer des mesures proportionnées aux risques identifiés avec cette méthode" (p. 4). 

Ces bonnes pratiques sont destinées à agir sur les éléments à protéger, les impacts potentiels, les sources de risques et les supports.

• éléments à protéger - il convient entre autres de minimiser les DCP, de gérer la durée de leur conservation, de les chiffrer, de les anonymiser, d'informer et d'obtenir le consentement des personnes concernées, d'accorder un droit d'opposition, d'accès et de rectification - il convient de prévoir les spécificités relatives, notamment, aux cookies, à la géolocalisation, à la publicité ciblée, aux recherches sur des prélèvements biologiques identifiants, à l'accès aux dossiers médicaux, aux bases de données. (p. 5-26)
• impacts potentiels - il convient entre autres de sauvegarder les DCP pour assurer leur disponibilité et/ou leur intégrité tout en protégeant leur confidentialité, de tracer l'activité sur le système informatique afin de détecter les incidents de sécurité, de gérer les violation de DCP - il convient de prévoir notamment les spécificités du hachage, de la signature électronique, des codes d'authentification, des postes clients, des serveurs, de l'équipement réseau. (p. 27-37)
• sources de risques - il convient entre autres de marquer les documents contenant des DCP, , de gérer les personnes internes et les tiers qui ont un accès légitime (clause de confidentialité), de contrôler l'accès logique et physique des personnes, de se protéger contre les sources de risques non humaines - il convient de prévoir notamment les spécificités de l'externalisation, de la maintenance, de l'hébergement mutualisé. (p. 38-57)
• supports - il convient entre autres de réduire la vulnérabilité des logiciels, des matériels, des canaux informatiques, des personnes, des documents papier - il convient de prévoir les spécificités relatives, notamment, aux postes de travail, aux téléphones mobiles, aux bases de données, aux imprimantes, aux outils de prise de main à distance, aux connexions aux équipements actifs du réseau, aux interfaces sans fil, au fax. (p. 58-77)

Ce guide propose également des actions transversales visant, entre autres, à désigner un responsable des traitements au sein de l'organisation, à établir une politique de protection de la vie privée, à intégrer la protection de la vie privée dans les projets. (p. 78-83)

Pour aller plus loin,

• COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS"
  • Sécurité des données personnelles : un guide pour agir et un test pour s'évaluer", Article, 7 octobre 2012. 
• Guide - La sécurité des données personnelles, Édition 2010.
• Quiz sur la sécurité.
• "Deux nouveaux guides sécurité pour gérer les risques sur la vie privée", Article, 4 juillet 2012.
• Guide - Gérer les risques sur les libertés et la vie privée, Édition 2012.
• Mesures pour traiter les risques sur les libertés et la vie privée, Édition 2012.