Ce guide a pour but de rappeler les précautions de sécurité à mettre en œuvre. La version 2024 le restructure et introduit de nouvelles fiches, notamment sur l’intelligence artificielle (IA), les applications mobiles, le cloud et les interfaces de programmation applicative (API).

Nouveautés :

• Le guide a été restructuré en 5 parties pour faciliter la navigation entre ses 25 fiches ;
• 5 nouvelles fiches ont été créées et reprennent le contenu déjà publié par la CNIL sur les sujets suivants :
  – l’informatique en nuage (cloud),
  – les applications mobiles,
  – l’IA,
  – les API,
  – le pilotage de la sécurité des données ;
• Les fiches existantes sont complétées, le cas échéant, des pratiques actuelles existantes comme par exemple l’utilisation d’équipements personnels en environnement professionnel (BYOD) ;
• Certaines d’entre elles ont été scindées en sujets distincts afin d’étoffer leurs contenus respectifs.
  Des mises à jour et améliorations ont été apportées au regard des évolutions de la menace et des connaissances.

Enfin, un journal des modifications a été créé afin d’identifier les nouveautés du guide plus aisément.

Ce guide constitue une référence dont les DPO, les responsables de la sécurité des systèmes d’information (RSSI), les informaticiens et les juristes de vos entités pourront se saisir dans le cadre de leurs activités liées à la sécurité des données. Il est également le guide de référence utilisé par la CNIL pour son appréciation de la sécurité des traitements de données personnelles.

En sus de ce guide, la CNIL a publié une plaquette cybersécurité 2024 dans laquelle elle rappelle le rôle du RGPD dans la prévention contre les risques cyber au travers de l’obligation de sécurité, principe fondamental inscrit depuis 45 ans dans la Loi Informatique et Libertés de 1978 et renforcé par le RGPD, « premier texte à imposer des obligations de cybersécurité précises de façon transversale et soumises au pouvoir de contrôle et de sanction d’une autorité administrative ».

La plaquette rappelle ce qu’est une violation de données et quelles sont la nature et les causes de ces violations mais aussi et surtout, au travers de la protection des données, le rôle du RGPD et de la CNIL en matière de cybersécurité, comme :

• La réalisation d’AIPD (Analyse d’Impact sur la Protection des Données) permettant d’identifier, d’encadrer et de sécuriser les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées ;
• Les recommandations : journalisation, Cloud ;
• L’anonymisation, le chiffrement des données ;
• Les fiches pratiques pour les particuliers : mot de passe « fort » (nombre et type de caractère, fréquence de changement), protéger son identité en ligne, navigation privée ;
• Les fiches pratiques à destination des professionnels : sécuriser son site web, sécuriser son SI, purger les données.

Cette plaquette accompagne le guide de sécurité des données personnelles et rappelle le contrôle systématique et les sanctions régulières prononcées par l’Autorité en matière de manquements à la sécurité tels que la transmission de données par une connexion non chiffrée, une politique de mots de passe non conforme, le défaut de verrouillage automatique des sessions des postes de travail (pourtant programmable) ou encore l’absence de test de vulnérabilité avant le développement d’un outil traitant des données personnelles.
Il n’est donc pas inutile de le consulter afin de se remémorer le b-a.-ba des sécurités à mettre en place et à vérifier par des audits flash au sein de vos structures.

Consultez ici les documents de la CNIL : CNIL, Guide pratique RGPD, Sécurité des données personnelles, Édition 2024 (mars 2024) ; CNIL, Plaquette cybersécurité 2024, 26 mars 2024