ATTENTION : ces archives ne sont plus tenues à jour, des liens peuvent être brisés.

Sécurité des données personnelles : un guide pour agir et un test pour s’évaluer

À l’occasion des assises de la Sécurité, la CNIL lance un nouveau guide destiné à aider les responsables de traitements à respecter leurs obligations en matière de sécurité des données personnelles. Elle propose également, sur son site internet, un questionnaire qui permet d’évaluer le niveau de sécurité des données personnelles dans les organismes.

Présentation du guide

« Ce guide s’adresse à tout responsable de traitement ainsi qu’à toute personne disposant d’un minimum de connaissances informatiques (administrateur système, développeur, responsable de la sécurité des systèmes d’information, utilisateur…) et souhaitant évaluer le niveau de sécurité dont doit bénéficier tout traitement de données à caractère personnel.

Il présente un ensemble de préconisations essentielles regroupées par fiches thématiques concernant la sécurité de données à caractère personnel.

Chaque fiche est structurée en trois sections :

  • les précautions élémentaires ;
  • ce qu’il ne faut pas faire ;
  • pour aller plus loin.

La section « Pour aller plus loin » recommande des mesures additionnelles aux précautions élémentaires.

Parmi l’ensemble des préconisations, certaines sont issues de bonnes pratiques en matière de gestion de la sécurité des systèmes d’informations, tandis que d’autres résultent des règles relatives à la protection de données à
caractère personnel du fait de la spécificité de ces informations. »

Les Fiches

Dix-sept fiches sont proposées sur les thèmes suivants :

  • Fiche n° 1 – Quels risques ?
  • Fiche n° 2 – L’authentification des utilisateur ;
  • Fiche n° 3 – La gestion des habilitations & la sensibilisation des utilisateurs ;
  • Fiche n° 4 –La sécurité des postes de travail ;
  • Fiche n° 5 – Comment sécuriser l’informatique mobile ?
  • Fiche n° 6 – Les sauvegardes et la continuité d’activité ;
  • Fiche n° 7 – La maintenance ;
  • Fiche n° 8 – La tracabilité et la gestion des incidents ;
  • Fiche n° 9 – La sécurité des locaux ;
  • Fiche n° 10 – La sécurité du réseau informatique interne ;
  • Fiche n° 11 – La sécurité des serveurs et des applications ;
  • Fiche n° 12 - La sous-traitance ;
  • Fiche n° 13 - L’archivage ;
  • Fiche n° 14 - L’échange d’informations avec d’autres organismes ;
  • Fiche n° 15 - Les développements informatiques ;
  • Fiche n° 16 – L’anonymisation ;
  • Fiche n° 17 – Le chiffrement.

Annexes

Deux annexes complétent ce guide.

L’annexe 1 établit une liste des menaces ciblant les systèmes informatiques et les fichiers à considérer en priorité, pour les matériels, les logiciels, les canaux de communication et les supports papier.

L’annexe 2 propose un test, en quatorze rubriques, pour évaluer le niveau de sécurité des données personnelles d’un organisme.

Ce guide est en téléchargement, sur le site de la CNIL, 48 p. document PDF