La Cnil appelle les organismes à renforcer la sécurité des "traitements critiques" de données personnelles
Le gendarme des données personnelles lance une consultation sur un projet de recommandation visant les pratiques avancées de sécurité pour les "traitements critiques", concernant les données hautement sensibles à grande échelle.
La Commission nationale de l'informatique et des libertés (Cnil) a lancé le 28 août une consultation publique sur un projet de recommandation relatif à la "sécurité des traitements critiques" de données personnelles. Par "traitements critiques", elle entend les systèmes informatiques pour lesquels une violation de données "engendrerait des risques particulièrement élevés pour les personnes", et qui nécessitent par conséquent de hauts niveaux de sécurité.
Publication en 2024
L'objectif de la Cnil est de regrouper dans un document unique l'ensemble de ses recommandations concernant les pratiques avancées de sécurité pour les traitements critiques : les traitements à grande échelle au sens du RGPD, qui en cas de violation entraineraient des conséquences pour la sécurité des personnes, de l'État ou de la société.
Cela concerne par exemple les bases de données des secteurs de l’énergie, des transports, des banques et des opérateurs télécoms, les services des impôts, de la gestion de l’identité ou de l’assurance maladie, les traitements de santé, et de manière générale toutes les bases de données "à caractère hautement personnel d’une part importante de la population française".
La consultation, qui s'adresse en premier lieu aux responsables de ces traitements critiques, est ouverte aux organismes publics et privés jusqu'au 8 octobre 2023. La recommandation finalisée sera ensuite publiée début 2024.
Très longue liste de recommandations
Concernant le projet de recommandation en lui-même, la Cnil recommande notamment que la protection des données personnelles des traitements critiques soit portée par la direction générale informée par son RSSI et son délégué à la protection des données, la création d’un comité de suivi de la sécurité des systèmes d’information et de la protection des données, et d'un bilan annuel des incidents de sécurité.
Le gendarme des données personnelles estime également que les traitements critiques devraient systématiquement faire l’objet, avant leur mise en œuvre, d’une analyse d’impact, et de scénarios de risques incluant les attaques étatiques ou émanant d’organisations criminelles organisées, la compromission de prestataires tiers, des hébergeurs ou des personnes habilitées à accéder au traitement.
Il recommande la réalisation d'un exercice de sécurité informatique au moins une fois tous les deux ans, de privilégier les outils open source et la logique "zero trust", la mise en place de sauvegarde hors ligne chiffrées au moins une fois par an, d'un centre opérationnel de sécurité et d’une capacité de réponse rapide aux incidents (CSIRT).
SUR LE MÊME SUJET
La Cnil appelle les organismes à renforcer la sécurité des "traitements critiques" de données personnelles
Tous les champs sont obligatoires
0Commentaire
Réagir
