Guide de la sécurité des données personnelles de la Cnil : la référence pour les professionnels

Dossier | Publié le 18 avril 2023 | Mis à jour le 27 mars 2024

Guide CNIL Sécurité des données personnelles

Découvrez le dossier réalisé par la Cnil pour aider les entreprises à gérer les données personnelles en leur possession. Au sommaire : recommandations techniques, juridiques et organisationnelles pour prévenir les incidents de sécurité ou les risques de non-conformité.

Un guide pour aider les entreprises amenées à gérer des données personnelles

La CNIL (Commission nationale de l’informatique et des libertés), l’autorité administrative indépendante chargée de la protection des données, partenaire de France Num, a mis en ligne une nouvelle édition 2023 de son guide de la sécurité des données personnelles.

Ce document de référence pour les entreprises s’adresse à l’ensemble des professionnels amenés à gérer des données personnelles. Le dirigeant d’entreprise, ainsi que ses équipes en charge de la protection des données et de la sécurisation de l’information, tels que :

Ce guide répond à deux objectifs :

  • Identifier au mieux les risques auxquels une entreprise peut être confrontée,
  • Donner des mesures concrètes pour réduire la probabilité qu'ils surviennent.

Il constitue une aide pour réaliser le recensement des traitements des données personnelles et identifier les risques engendrés par chaque traitement.

Chaque fiche est structurée en trois sections :

  • les précautions élémentaires, qui reprennent les bonnes pratiques essentielles ;
  • les mauvaises pratiques tendancielles, qui devraient être évitées ;
  • les mesures complémentaires, pour aller plus loin.

Une grille d’auto-évaluation est proposée à la fin du guide pour faire le point sur son niveau de sécurité en matière de données personnelles.

Consulter l'avant-propos du guide : 

Téléchargez le guide de la sécurité des données personnelles

Pour récupérer l'intégralité des fiches vous pouvez télécharger la version PDF du guide de la sécurité des données personnelles. 

Je télécharge le guide (pdf ; 1,66 Mo)

25 fiches pour gérer les risques en matière de sécurité

Ce guide est divisé en 25 fiches dont chacune aborde un point visant à renforcer la fiabilité du système informatique et à améliorer le niveau de protection des données personnelles.

Fiche 1 - Piloter la sécurité des données

Cette fiche traite de la mise en place et du maintien dans la durée de la protection des données personnelles exigée par le RGPD et s'intéresse notamment aux cadres sectoriels.

Elle liste les étapes :

  • Impliquer la direction et assurer un suivi avec elle ;
  • Recenser (à travers le registre) les traitements de données personnelles, automatisés ou non, les données traitées (ex. : fichiers clients, contrats) et les supports sur lesquels ces traitements reposent (matériels, logiciels, cloud etc.) ;
  • Formaliser des schémas d’interconnexions et de flux de données ;
  • Définir un plan d’action relatif à la sécurité informatique ;
  • Contrôler périodiquement l’effectivité des mesures techniques et organisationnelles ;
  • Améliorer la protection des données personnelles dans le temps.

La fiche détaille les principales action à mettre en place, liste les écueils à éviter et fournit des ressources pour aller plus loin.

Consulter la fiche : 

Fiche 2 - Définir un cadre pour les utilisateurs

Cette fiche traite de la mise en place d'une charte informatique qui définie les principales règles d’usage des outils informatiques dotée d'une force contraignante. Elle récapitule les éléments à inclure dans la charte, notamment : 

  • Les modalités d’utilisation des moyens informatiques et de télécommunication ;
  • Les conditions d’administration du système d’information ;
  • Les responsabilités et sanctions encourues en cas de non-respect de la charte. 

Consulter la fiche : 

Fiche 3 - Impliquer et former les utilisateurs

Les erreurs humaines et les attaques par ingénierie sociale sont à l’origine d’un nombre important d’incidents de sécurité. Les solutions techniques ne sont pas suffisantes pour assurer la protection des données personnelles détenues par un organisme. 

La fiche traite de la nécessité de faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée. Celle-ci passe par la la nécessité de : 

  • Sensibiliser les utilisateurs (aussi bien internes qu’externes à l’organisme) travaillant avec des données personnelles aux risques liés aux libertés et à la vie privée des personnes ;
  • Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. 

Consulter la fiche : 

Fiche 4 - Authentifier les utilisateurs

Celle-ci actualise les recommandations de la CNIL dans le cas d'une authentification des utilisateurs basée sur des mots de passe. La CNIL recommande différents niveaux de gestion des mots de passe selon le niveau de sécurité requis.

Objectifs :

  • Actualiser les recommandations de la CNIL dans le cas d'une authentification des utilisateurs basée sur des mots de passe.
  • Détailler les niveaux de complexité nécessaires selon les cas.

Elle donne également quelques exemples de pratiques à privilégier et à éviter pour bien gérer ses mots de passe, par exemple pour vérifier la robustesse de ses mots de passe, utiliser des moyens mnémotechniques pour retrouver ses mots de passe, ou le fait d'utiliser des gestionnaires de mots de passe.

Consulter la fiche : 

Fiche 5 - Gérer les habilitations

Cette fiche répertorie les 5 grandes précautions à prendre pour une bonne gestion des habilitations pour l'accès aux données. Vous y trouverez également 5 grandes erreurs à éviter.

Objectifs :

  • Prendre des précautions dans la gestion des habilitations ;
  • Limiter les accès aux seules données dont un utilisateur a besoin.

Consulter la fiche : 

Fiche 6 - Sécuriser les postes de travail

Cette fiche rappelle les précautions indispensables à prendre pour garantir la sécurité des postes de travail, telles que la mise à jour fréquente des applications et logiciels.

Objectifs:

  • Connaître les bonnes pratiques telles que la mise à jour des applications et des logiciels, l'utilisation d'un antivirus et la sauvegarde des données.
  • Favoriser le stockage des données des utilisateurs sur un espace de stockage régulièrement sauvegardé accessible via le réseau interne de l'entreprise.

Cette fiche aborde aussi la question des supports de stockage amovibles dont l’utilisation doit être limitée car problématique en terme de sécurité.

Consulter la fiche : 

Fiche 7 - Sécuriser l'informatique mobile

Cette fiche indique les précautions à prendre pour limiter les risques que fait peser télétravail sur la sécurité de l'entreprise.

Objectifs:

  • Sensibiliser aux risques de la connexion non sécurisée.
  • Mettre en place des solutions de sécurité appropriées telles que le chiffrement des données.

Il faut aussi éviter de sauvegarder des documents sensibles dans un service cloud qui n'a pas été validé par l'employeur.

Consulter la fiche : 

Fiche 8 - Protéger le réseau informatique interne

La CNIL rappelle brièvement l'ensemble des mesures techniques à mettre en place pour assurer la protection des réseaux informatiques internes de l'entreprise. Cette fiche se concentre sur la dimension technique de la protection du réseau et s'adresse en priorité au responsable informatique.

Objectifs:

  • Gérer les réseaux Wi-Fi en utilisant un chiffrement à l'état de l'art.
  • Protéger le réseau informatique interne en mettre en place des mesures techniques telles que VPN et chiffrement.

Consulter la fiche : 

Fiche 9 - Sécuriser les serveurs

La sécurité des serveurs est essentielle car ceux-ci centralisent un nombre très important de données. Cette fiche recommande des protocoles et logiciels à mettre en place pour limiter le risque d'infiltration de programme malveillant.

Objectifs :

  • Utiliser des logiciels de détection et de suppression de programmes malveillants régulièrement mis à jour.
  • Être vigilant sur les services utilisés : désinstaller ou désactiver les services et interfaces inutiles.

Consulter la fiche :

Fiche 10 - Sécuriser les sites web

Les sites web ont également des normes de sécurité spécifiques. Cette fiche revient sur les protocoles à utiliser ainsi que sur le principe de minimisation des cookies et de recueil du consentement.

Objectifs :

  • Utiliser les normes de sécurité spécifiques aux sites web (ex : protocole TLS).
  • Respecter le principe de minimisation des données collectées par les cookies.

Cette fiche conseil aussi de limiter les informations renvoyées lors de la création d'un compte utilisateur ou lors de la réinitialisation d'un mot de passe.

Consulter la fiche : 

Fiche 11 - Encadrer les développements informatiques

Cette fiche donnes des exemples de précaution à prendre lorsqu’une entreprise souhaite faire du développement informatique.

Objectifs :

  • Prendre en compte la protection des données dès le début d'un projet, par exemple dans le cadre du développement d'une application.
  • Combiner plusieurs mesures de sécurité.

Cette fiche conseille aussi d’utiliser des données fictives pour les phases de développement et de test.

Consulter la fiche : 

Fiche 12 - Protéger les locaux

Cette fiche détaille les principales mesures à prendre pour sécuriser les locaux de l’entreprise.

Objectifs :

  • Distinguer les zones des bâtiments selon les risques.
  • Prévoir un contrôle d’accès dédié pour la salle informatique.
  • Installer des alarmes anti-intrusion, des détecteurs de fumée ainsi que des moyens de lutte contre les incendies.

Consulter la fiche :

Fiche 13 - Sécuriser les échanges avec l'extérieur

Cette fiche rappelle les mesures à prendre pour sécuriser les échanges.

Objectifs :

  • Chiffrer les données avant leur enregistrement sur un support physique à transmettre à un tiers (par exemple, clé USB, disque dur portable, disque optique) ;
  • Utiliser un protocole garantissant la confidentialité et l'authentification du serveur destinataire pour les transferts de fichiers ; 
  • Ouvrir un fichier venant de l’extérieur seulement si l’expéditeur est connu et après soumission à une analyse antivirus.

L’une des pratiques a éviter est de transmettre des fichiers contenant des données personnelles en clair via des messageries et autres plateformes grand public.

Consulter la fiche : 

Fiche 14 - Gérer la sous-traitance

Cette fiche donne des conseils pratiques sur le  choix des sous-traitants.

Objectifs :

  • Choisir des sous-traitants présentant les garanties de sécurité suffisantes.
  • S'assurer que le contrat contient un certain nombre de dispositions.

Cette fiche conseille également de prévoir les moyens permettant de vérifier l'effectivité des garanties offertes par le sous-traitant en matière de protection des données (par exemple : audits de sécurité, visite des installations).

Consulter la fiche : 

Fiche 15 - Encadrer la maintenance et la fin de vie des matériels et logiciels

Une mauvaise gestion des matériels et logiciels en fin de vie est une dimension de la protection des données rarement mise en avant, mais non moins essentielle.

Objectifs :

  • Sensibiliser aux bonnes pratiques comme le fait de ne pas laisser un accès complet ou permanent aux systèmes pour la télémaintenance
  • Effacer préalablement les données des matériels destinés à être donnés ou mis au rebut.

Consulter la fiche : 

Fiche 16 - Tracer les opérations

Cette fiche met l'accent sur l'importance de mettre en place des précautions élémentaires, notamment un système de journalisation.  

Objectifs :

  • Mettre en place un système de journalisation afin d'enregistrer les activités des utilisateurs, les interventions techniques, les anomalies de sécurité pour mieux gérer les incidents de sécurité.
  • Trouver un équilibre entre la sécurité du système informatique et la protection de la vie privée des employés.

Il est rappelé qu'utiliser les données d'activités pour compter les heures travaillées est un détournement de finalité, sanctionné par la loi.

Consulter la fiche : 

Fiche 17 - Sauvegarder

En cas de cyberattaque ou de problème technique, disposer d'une sauvegarde de secours est nécessaire.

Objectifs :
•    Respecter les bonnes pratiques de sauvegarde des données telles que l'isolement d'au moins une sauvegarde hors ligne, déconnectée du réseau de l'entreprise.
•    Effectuer des sauvegardes fréquentes.

L'intérêt de ne pas conserver les sauvegardes sur les mêmes systèmes que les données sauvegardées mais de les isoler participe à la prévention contre les menaces informatiques de type rançongiciel qui s'attaquent aussi bien aux données qu'à leurs sauvegardes.

Consulter les fiches : 

Fiche 18 - Prévoir la continuité et la reprise d'activité

Pour limiter le temps d’indisponibilité du système, il faut anticiper les incidents les plus courants. Assurer la continuité d’activité consiste à prévoir des moyens de continuer de fonctionner, en général de manière dégradée, malgré des dysfonctionnements. La reprise d’activité, quant à elle, englobe toutes les actions nécessaires pour relancer un système arrêté. 

Objectifs :

  • Rédiger un plan de continuité (PCA) et de reprise (PRA) d’activité informatique même sommaire, incluant la liste des intervenants. 
  • S’assurer que les utilisateurs, prestataires et sous-traitants savent qui alerter en cas d’incident.
  • Tester régulièrement la restauration des sauvegardes et l’application du plan de continuité ou de reprise de l’activité.

Consulter la fiche : 

Fiche 19 - Gérer les incidents et les violations

Il est nécessaire de prévoir les procédures pour gérer les incidents et réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité). 

Objectifs : 

  • Analyser régulièrement les traces collectées (voir la fiche n°16 - Tracer les opérations).
  • Diffuser à tous les utilisateurs, internes comme externes, la conduite à tenir et la liste des personnes à contacter en cas d’incident de sécurité ou de survenance d’un évènement inhabituel.
  • Tenir un registre interne de toutes les violations de données personnelles.
  • Notifier à la CNIL, dans les 72 heures (tel que prévu par le RGPD), les violations présentant un risque pour les droits et libertés des personnes et, en cas de de risque élevé et sauf exception prévue par le RGPD, informer les personnes concernées pour qu’elles puissent en limiter les conséquences.

Consulter la fiche : 

Fiche 20 - Analyse de risques

Cette brève traite de l'importance d'identifier les risques et évaluer leur vraisemblance et leur gravité pour mettre en place les mesures de sécurité appropriées.

Objectifs :

  • Recenser les traitements de données personnelles, automatisés ou non, les données traitées (ex. : fichiers clients, contrats) et les supports sur lesquels ces traitements reposent. 
  • Apprécier les risques engendrés par chaque traitement.
  • Mettre en œuvre et vérifier les mesures prévues.

Consulter la fiche : 

Fiche 21 - Chiffrement, hachage, signature

Cette fiche précise les algorithmes qui doivent être utilisés pour chiffrer ou hacher des données confidentielles. Le chiffrement est un procédé de cryptographie qui permet de rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de chiffrement.

Objectifs :

  • Rédiger une procédure indiquant la manière dont les clés et certificats vont être gérés.
  • Appliquer les recommandations d’utilisation appropriées.

Cette fiche recommande les algorithmes à utiliser et ceux à éviter.

Consulter la fiche : 

Fiche 22 - Sécurité : Cloud, informatique en nuage

Le recours à l’informatique en nuage (cloud) est perçu comme un moyen plus rapide et flexible de déployer des nouveaux services. Cependant, les risques spécifiques liés au recours au cloud doivent être pris en compte lors de la mise en œuvre d’un traitement de données. 

Objectifs : 

  • Cartographier les données et les traitements dans le cloud.
  • Évaluer les besoins en sécurité des traitements mis en œuvre, puis choisir le mode de déploiement des services (public, privé, hybride, communautaire, multicloud) adapté et le fournisseur après avoir évalué le niveau de sécurité proposé. 
  • Prendre en compte les services cloud dans l’analyse de risques (voir la fiche n°20 - Analyse de risques), mais également dans les PCA/PRA (voir la fiche n°18 - Prévoir la continuité et la reprise d’activité), tout en tenant compte de ses spécificités.
  • Formaliser les obligations de sécurité et la répartition des responsabilités entre le fournisseur et le client dans un contrat (voir la fiche n°14 - Gérer la sous-traitance).
  • Configurer les outils de sécurité mis à disposition par le fournisseur le cas échéant (par exemple : chiffrement, gestion des accès et des identités, pare-feu, outil anti-DDoS) en respectant la politique interne de sécurité des systèmes d’information.

Consulter la fiche : 

Fiche 23 - Sécurité : Applications mobiles - conception et développement

Les applications mobiles sont l’un des principaux moyens d’accès à des contenus et des services numériques et impliquent pour la plupart le traitement de données personnelles. Il est nécessaire pour les éditeurs de sécuriser ces traitements et d’offrir la meilleure transparence possible aux utilisateurs.

Objectifs : 

Minimiser les traitements de données personnelles mis en œuvre en s’assurant que chaque type de données collectées est bien nécessaire au fonctionnement de l’application.

Choisir, lors de leur sélection, les permissions pertinentes au fonctionnement de l’application et impliquant le minimum de collecte supplémentaire. 

Consulter la fiche

Fiche 24 - Intelligence artificielle - Conception et apprentissage

Qu’il s’agisse de l’entraînement d’un nouveau modèle ou de l’intégration d’un modèle existant dans un logiciel ou un écosystème d’applications, le développement d’un système d’intelligence artificielle (IA)  nécessite la mise en œuvre de certaines mesures de sécurité spécifiques. 

Le volume important de données d’entraînement, tout comme la complexité de ces systèmes, augmentent la surface d’attaque et le risque de défaillance pouvant avoir des conséquences graves sur la fiabilité du système

Cette fiche énumère plusieurs recommandations d’ordre technique et organisationnel permettant d’atteindre un premier niveau de sécurité.

Consulter la fiche : 

Fiche 25 - Sécurité : API - Interfaces de programmation applicative

Le recours à des interfaces de programmation applicative (API en anglais) constitue une bonne pratique pour de nombreux cas d’usages d’échange de données personnelles, dans la mesure où les API peuvent contribuer à fiabiliser, minimiser et sécuriser ces échanges. 

La gestion des API doit, pour ce faire, s’inscrire dans la politique de sécurité des systèmes d’information et faire l’objet d’une coordination entre fournisseurs et consommateurs d’API.

Consulter la fiche : 

Trouvez un expert du numérique spécialisé en protection des données

La Cnil met en garde les entreprise sur la complexité pour des non-spécialistes de la sécurité informatique, de mettre en œuvre une démarche de protection des données personnelles et souligne l'intérêt d'être accompagné pour s’assurer que le niveau de sécurité des traitements est suffisant.

Les Activateurs France Num sont des experts du numérique, publics ou privés, qui se sont référencés auprès de France Num et se sont engagés à réaliser un premier entretien gratuit.

Rechercher un expert

Alexandra Iancu et Julien Karachehayas | Licence Creative Commons BY-NC-SA 3.0 FR

Dans la même thématique

Cette page vous a-t-elle été utile ?

Suivez-nous sur les réseaux sociaux et Abonnez-vous à notre lettre d’information