Articles

Deux nouveaux guides sécurité pour gérer les risques sur la vie privée

Après le guide sécurité destiné aux PME et présenté en 2010, la CNIL publie deux guides sécurité « avancés ». Ils se composent d’une méthode et d’un catalogue de mesures pour aider les organismes à gérer les risques sur la vie privée. Ces outils opérationnels doivent faciliter l’intégration de la protection de la vie privée dans les traitements à l’aide d’une approche pragmatique, rationnelle et systématique.

La loi informatique et libertés prévoit, dans son article 34, de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».

Chaque responsable doit donc identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d’adopter une vision globale et d’étudier les conséquences sur les personnes concernées.

Pour aider les PME dans cette étude, la CNIL a publié en 2010 un premier guide sécurité. Celui-ci présente sous forme de fiches thématiques les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement de données à caractère personnel. Il atteint cependant ses limites lorsqu’il s’agit d’étudier des traitements complexes ou aux risques élevés.

Les deux nouveaux guides de la CNIL ont pour objectif d’aider à la mise en place d’une démarche d’analyse complète, permettant d’améliorer la maîtrise des traitements complexes. Ils s’adressent ainsi aux responsables de traitements, maîtrises d’ouvrage, maîtrises d’œuvre, correspondants « informatique et libertés » et responsables de la sécurité des systèmes d’information. Ils les aident à avoir une vision objective des risques engendrés par leurs traitements, de manière à choisir les mesures de sécurité nécessaires et suffisantes.

Ils se composent :

  • d’une méthode pour identifier et traiter les risques que les traitements de données à caractère personnel peuvent faire peser sur les personnes ;
  • d’un ensemble détaillé de mesures et de bonnes pratiques destinées à traiter les risques identifiés.

L’enjeu : proposer un outil méthodologique pour appliquer la Loi informatique et libertés et des mesures pour traiter les risques

L’approche méthodologique décrit l’usage particulier de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité,) dans le contexte spécifique de la protection de la vie privée.

Pour apprécier les risques, il faut tout d’abord identifier les événements redoutés et les estimer en termes de gravité.

Si leur gravité est élevée, il convient alors d’identifier les menaces qui permettraient qu’ils se réalisent et d’estimer leur vraisemblance. Les risques ainsi appréciés peuvent alors être traités par des mesures adaptées.

Le catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :

  • les « éléments à protéger » : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits…
  • les « impacts potentiels » : sauvegarder les données, tracer l’activité, gérer les violations de données…
  • les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
  • les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…

Pour traiter un risque identifié et le réduire à un niveau acceptable, l’utilisateur des guides peut sélectionner une ou plusieurs mesures appropriées. Il est impératif d’adapter les mesures au risque et au contexte particulier du traitement considéré.

Une étude de cas sur la gestion des patients d’un cabinet de médecine du travail, réalisée par le Club EBIOS, illustre une application de ces outils.

 

Retrouvez les deux guides ici :

 

Retrouver l’article d’origine sur le site de la CNIL [ici]

Cloud computing : les conseils de la CNIL

Fin 2011, la CNIL avait lancé une consultation auprès des professionnels afin de recueillir des points de vue, des retours d’expériences et des recommandations relatifs au Cloud Computing. Les contributions auront permis de synthétiser les solutions techniques et juridiques afin qu’un haut niveau de protection des données soit garanti.

La CNIL a établi les recommandations suivantes afin d’aider les entreprises françaises, notamment les PME, à effectuer une prise de décision éclairée lorsqu’elles envisagent d’avoir recours à des prestations de services de Cloud Computing. Ces recommandations indicatives sont principalement basées sur une analyse de risques réalisée au préalable par les clients et des engagements de transparence des prestataires vis-à-vis de leurs clients qui doivent être formalisés dans les contrats de prestation de services.

La CNIL émet les 7 recommandations suivantes :

  1. Identifier clairement les données et les traitements qui passeront dans le Cloud
  2. Définir ses propres exigences de sécurité technique et juridique
  3. Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise
  4. Identifier le type de Cloud pertinent pour le traitement envisagé
  5. Choisir un prestataire présentant des garanties suffisantes
  6. Revoir la politique de sécurité interne
  7. Surveiller les évolutions dans le temps

La CNIL propose des modèles de clauses contractuelles, en annexe du document, en reprenant les éléments essentiels pouvant être insérés dans les contrats de prestations de services de Cloud Computing.

 

Retrouvez les recommandations de la CNIL [ici] et la synthèse des réponses à la consultation publique [ici]

[Source]

La CNIL enquête sur Google

La CNIL annonce avoir été désignée par les autres CNIL d’Europe pour mener à bien une enquête sur la nouvelle politique de confidentialité de Google.

Une première analyse a révélé que les nouvelles règles ne respectaient pas la Directive Européenne sur la protection  des données personnelles (95/46/CE). L’inquiétude se fait autour de l’échange des données entre les différents services proposés par Google.

Cette nouvelle politique de gestion des données doit entrer en vigueur dès le 1er Mars 2012. La CNIL félicite la démarche de simplification mais précise qu’elle ne doit pas se faire au détriment de la transparence. La CNIL a envoyé une lettre à Google en faisant part de l’inquiétude des différentes Commissions Européennes chargées des questions relatives aux données personnelles et en demandant un rapport détaillé sur les nouvelles règles qui doivent être appliquées.

Retrouvez la lettre adressée à Google [ici] et l’article complet sur le sujet [ici]

6ème Journée Européenne pour la protection des données personnelles

Ce 28 Janvier 2012, on célèbrera la 6ème journée Européenne de la protection des données personnelles et de la vie privée.

Cette date a été choisie en rappel du 28 Janvier 1981, lorsque le Conseil de l’Europe adopta la Convention 108, le premier instrument international contraignant juridiquement les organismes en matière de protection des données.

Il sera aussi l’occasion de repenser à toutes ces données personnelles disparues dans la nature au cours de l’année écoulée. Fuites de données et autres intrusions dans les systèmes d’information auront permis de faire de ce sujet une préoccupation majeure pour les autorités publiques.