La CNIL publie son premier guide sur la sécurité des données

"La sécurité" - Photo by Boris Drenec (2008).  Shot on March 3, 2008.  Available at http://www.flickr.com/photos/_boris/2360263645/in/pool-632629@N22/  (Creative Common "Attribution-NonCommercial-ShareAlike 2.0 Generic" license.)

“La sécurité” Photo by Boris Drenec (2008)

A l’occasion des Assises de la sécurité, la Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité française de protection des données personnelles, a publié son premier guide sur la sécurité des données (Guide: la sécurité des données personnelles), apres qu’elle eut par le passé déjà émis une délibération à ce sujet (délibération n°81-94 du 21 juillet 1981 portant adoption d’une recommandation relative aux mesures générales de sécurité des systèmes informatiques).

La CNIL précise que ce guide s’adresse aux personnes dotées d’une culture informatique :

“Ce guide s’adresse à tout responsable de traitement ainsi qu’à toute personne disposant d’un minimum de connaissances informatiques (administrateur système, développeur, responsable de la sécurité des systèmes d’information, utilisateur…) et souhaitant évaluer le niveau de sécurité dont doit bénéficier tout traitement de données à caractère personnel.”

Pour la CNIL, la “sécurité passe par le respect de bonnes pratiques et le maintien de l’outil informatique à l’état de l’art quant aux attaques dont il peut faire l’objet”, et cela nécessite un bonne gestion des outils informatiques passant par plusieurs vecteurs dont la mise en place d’une méthode d’authentification, une gestion des habilitations, une journalisation et la gestion des risques.

La sécurité des données est de plus en plus préoccupante pour l’Union Européenne tout comme pour le législateur français. La CNIL s’appuie ainsi sur la loi Informatique et Libertés et sur des directives européennes pour insister sur l’importance de ce principe.  Elle apporte également de vrais outils d’analyse des systèmes d’information et des clés nécessaires à la mise en place de moyens de sécurité efficaces et protecteurs des données à caractère personnel. Le guide sera ainsi un outil utile pour tout responsable de traitements, directeur de systèmes d’information ou Correspondant Informatique et Libertés (CIL), afin d’améliorer la sécurité des données.  (Le “CIL” est un personnage central de la protection des données. Il est nommé dans certaines entreprises et organismes publics avec pour mission de tenir à jour la liste des traitements et veiller à la bonne application de la Loi Informatique et Libertés. Sa nomination a pour conséquence l’allègement de formalités préalables à la mise en œuvre d’un traitement de données, pour les traitements les plus courants.)

Contexte et fondements juridiques

La CNIL s’appuie principalement sur l’article 34 de la Loi Informatique et Libertés du 6 janvier 1978, modifiée qui prévoit une obligation de sécurité des données à caractère personnel, obligation incombant au responsable du traitement de données, et qui intéresse aussi bien juristes que directeurs de systèmes d’information, ou CIL.

La loi Informatique et Libertés contient un article 34 en vertu duquel :

“Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

 

Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8.”

 

Cet article correspond à la transposition française d’une obligation prévue par la Directive 95/46/CE (Directive “Données personnelles”), dont l’article 17 impose une obligation de sécurité.

La publication du guide s’inscrit également dans un mouvement plus général en Europe qui tend à renforcer le niveau de sécurité des données personnelles en prévoyant l’obligation de notifier les violations de sécurité.

Ainsi, récemment, la Directive 2009/136/CE modifiant la Directive 2002/58/CE a imposé aux Etats membres de prévoir dans leur droit national, une obligation de notifier les violations de sécurité à l’autorité compétente ainsi que, dans certains cas, aux personnes concernées (Voyez, par exemple, notre article: “La France va-t-elle se doter d’une loi rendant obligatoire les notifications des violations de sécurité?”)

Les violations de sécurité des données pourront être lourdes de conséquences pour les entreprises qui pourraient être contraintes de les notifier à la CNIL et aux personnes concernées. Par ailleurs, de telles violations, en plus des problèmes de gestion qu’elles entraînent, auront forcément un impact négatif sur l’image de l’entreprise dont les systèmes d’information seront considérés comme peu fiables par les clients, fournisseurs et partenaires commerciaux.

Il est d’ores et déjà essentiel pour les entreprises et organismes publics procédant à des traitements de données à caractère personnel de renforcer la sécurité de leurs systèmes d’information et plus particulièrement la sécurité de leurs traitements de données personnelles.

Pour ce faire, le guide pratique de la CNIL constitue un bon outil pour évaluer le degré de sécurité d’une entreprise et adopter des méthodes de gestion qui l’améliorent.

 

Des fiches pratiques sur la sécurité des données personnelles

 

Le guide contient des fiches pratiques et des conseils pour procéder à un audit des systèmes d’information tout en formulant des recommandations utiles pour améliorer la sécurité des systèmes d’information et des traitements de données personnelles.

Les 17 fiches pratiques concernent les points suivants :

– l’identification des risques- l’authentification des utilisateurs- la gestion des habilitations et la sensibilisation des utilisateurs – la sécurité des postes de travail– les méthodes de sécurisation de l’informatique mobile

– les sauvegardes et la continuité d’activité

– la maintenance

– la traçabilité et la gestion des incidents

– la sécurité des locaux- la sécurité du réseau informatique interne- la sécurité des serveurs et des applications
– la sous-traitance – l’archivage
– l’échange d’informations avec d’autres organismes
– les développements informatiques
– l’anonymisation
– le chiffrement

Toutes les fiches de la CNIL présentent d’abord les précautions élémentaires à respecter, puis ce qu’il ne faut pas faire; enfin, une rubrique contenant des éléments pour aller plus loin.

Au fil de ses recommandations, le guide propose certains modèles de documents comme un modèle de charte informatique ou un exemple d’engagement de confidentialité relatif aux données à caractère personnel.  Autant de modèles qu’il faut évidemment adapter en fonction de leur contexte d’application et des traitements en œuvre dans l’entreprise. Quoiqu’il en soit, ils s’avèrent être d’une réelle utilité pour une entreprise dont la démarche est de commencer un audit de ses systèmes d’information pour se conformer aux exigences requises en matière de sécurité des données.

Avant de se pencher sur les mesures de sécurité proprement dites, la CNIL invite les responsables de traitements à procéder d’abord à un audit de leurs systèmes d’information.

La CNIL a également mis en place sur son site Internet un quizz sécurité qui indique les points forts d’un système d’information, les points à développer, et ceux à améliorer.

Des solutions techniques pour assurer la sécurité des données

La première fiche concerne les risques que peuvent connaître les systèmes d’information en matière de sécurité et constitue un préalable à toute action destinée à renforcer la sécurité des systèmes d’information.

La CNIL indique utilement les précautions à prendre et la méthode afin d’évaluer les risques : recenser les fichiers et les données, ainsi que les traitements, déterminer comment la vie privée peut être affectée, pour chaque traitement, identifier et classer selon leur gravité les impacts sur la vie privée, étudier les menaces et les hiérarchiser, étudier les risques, mettre en œuvre des mesures de sécurité.

La CNIL insiste sur la vigilance dont il faut faire preuve sur les modes d’authentification et d’habilitation des utilisateurs : les identifiants et mots de passe des utilisateurs doivent être différents de ceux définis par défaut ; ces derniers devraient être modifiés tous les trois mois et respecter certaines règles telles que l’utilisation de caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).

Les entreprises sont par ailleurs invitées à rédiger une charte informatique et à l’annexer au règlement intérieur. Un modèle est proposé en page 12 du guide.

En outre, le renforcement de la sécurité des données et la gestion des risques passe par la sensibilisation des utilisateurs et par la gestion des flux de données, au sein d’une entité ainsi que vers d’autres entités.

Des moyens de sécurisation des locaux ou des postes sont recommandés, tout comme une sécurisation du réseau informatique interne.

La sécurité des données doit être également garantie lors de la maintenance et des interventions techniques, ainsi que par tout sous-traitant.

 

Enfin, sont recommandés des moyens de rendre secrètes les données traitées, comme l’anonymisation des données ou le chiffrement (cryptage). Si le guide se borne à donner des exemples et à souligner l’intérêt de certaines méthodes, les fiches en question ont l’intérêt d’être claires sur un sujet technique et souvent peu intelligible allant dans le sens d’une sensibilisation à la sécurité des données.

Pour assurer la meilleure sécurité des données, rappelons que l’Article 17 de la Directive 95/46/CE fait référence à un niveau de sécurité selon l’état de l’art. Par conséquent, les techniques de sécurisation des accès, de cryptographie et d’archivage pourront être amenées à évoluer selon les avancées techniques.

Quoiqu’il en soit, les lignes directrices contenues dans le guide sécurité de la CNIL constituent selon nous un bon moyen de commencer l’évaluation de la sécurité des données d’une entreprise avant de poursuivre par des mesures d’amélioration de cette sécurité.

Tout responsable de traitement, directeur des systèmes d’information, CIL, juriste ou avocat traitant de questions liées aux données personnelles trouvera dans ce guide des clés utiles pour améliorer la sécurité des données personnelles. Il nous est en effet paru simple d’accès, pratique et complet sur les questions de sécurité des données, à un moment où cette problématique se pose de manière accrue.

Notons que le Président de la CNIL a pris soin d’indiquer dans son avant-propos, que ce guide sera prochainement suivi d’un document plus développé sur la sécurité des données personnelles. La sécurité des données est donc bel et bien une question essentielle pour l’autorité française de protection des données, ce qui devra conduire les responsables de traitements, directeurs de systèmes d’information et CIL à la plus grande vigilance sur le respect de cette obligation dont la violation pourra à l’avenir être lourde de conséquences.

Le guide dans le contexte de la nouvelle proposition de loi française de notification des violations de sécurité

L’article 7 de la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, actuellement examinée par l’Assemblée nationale depuis le 24 mars 2010 dernier, modifie l’article 34 de la loi no. 78-17 du 6 janvier 1978 et rend obligatoire, pour les responsables de traitements de données à caractère personnel, d’informer le correspondant “informatique et libertés” ou, en l’absence de celui-ci, la CNIL, d’une violation de l’intégrité ou de la confidentialité de ces traitements, ainsi  que les personnes concernées par cette violation. Le contenu, la forme et les modalités de cette information seront déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. (Pour plus de détails sur cette nouvelle proposition de loi, voyez notre précédent article du 3 août 2010.)

La proposition de loi prévoit par conséquent l’obligation pour les sociétés de notifier les violations de sécurité aux particuliers, mais selon des modalités encore à définir. On peut alors se demander si, à respecter les mesures de sécurité préconisées par le nouveau guide, les sociétés bénéficieraient de la part de la CNIL de réductions de l’étendue de l’obligation de notification.  Quand on sait ce que coûtent les mesures de notifications (environ 200 dollars US par dossier de client en cause, d’après le récent rapport 2009 Annual Study: Cost of a Data Breach du Ponemon Institute) et de l’impact qu’a généralement l’annonce d’une faille de sécurité ou d’une perte de données à caractère personnel sur la réputation et l’image de marque d’une société, il est facile de comprendre l’intérêt qu’ont les compagnies de prendre au sérieux les nouvelles recommandations de sécurité de la CNIL.

Farid Bouguettaya & Cédric Laurant


Documents de référence:

– CNIL, Guide: La sécurité des données personnelles (Octobre 2010).

Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (“Loi Informatique et Libertés”).

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Directive «Données personnelles»), Journal officiel n° L 281 du 23/11/1995, p. 0031 – 0050.

Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs, Journal officiel, n° L337/11 du 18/12/2009.

– Ponemon Institute, 2009 Annual Study: Cost of a Data Breach (January 2010)


Share

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

  • Blog authors

  • Copyright notice

    © Copyright 2010-2014 "Information Security Breaches & The Law".
    All rights reserved, unless noted otherwise under each author's post, page or other material.
    If you would like to discuss licensing terms, contact us at: info [at] security-breaches [dot] com.

  • Enter your e-mail address here to follow this blog and receive notifications of new posts by e-mail.

  • The “Global Information Security Breach Professionals” Group on Linkedin

  • Wordpress Blog Stats

    • 43,337 hits
%d bloggers like this: