La Commission nationale de l’informatique et des libertés (CNIL) vient de publier l’édition 2023 de son guide de la sécurité des données personnelles, destiné « à l’ensemble des professionnels amenés à utiliser des données personnelles ».
L’obligation de sécurité des données personnelles, inscrite dans la loi depuis 45 ans a été renforcée par le RGPD (règlement général sur la protection des données). À travers 17 fiches, le guide rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique et les mesures destinées à renforcer davantage encore la protection des données. Les établissements sociaux et médico-sociaux sont bien entendu concernés.
Cette nouvelle version prend notamment en compte les dernières recommandations de la CNIL en matière de mots de passe et de journalisation.
Pour 2023, la CNIL réactualise son guide en y intégrant les recommandations adoptées ces dernières années.
Sur les 17 fiches du document, 5 ont été modifiées :
- l'authentification des utilisateurs (fiche 2) prend en compte la nouvelle recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL.
- la traçabilité des opérations et la gestion des incidents (fiche 4) prend en compte la recommandation relative à la journalisation adoptée en 2021.;
- l'encadrement des développements informatiques (fiche 12) a été enrichie d’éléments venant du guide RGPD pour l’équipe de développement ;
- les fiches n° 15 « Sécuriser les échanges avec d’autres organismes » et n° 17 « Chiffrer, hacher ou signer » ont été actualisées pour tenir compte de l’évolution des pratiques actuellement recommandées.
La CNIL présente ce guide comme étant une référence en matière de sécurité. Il est notamment destiné aux DPO (délégués à la protection des données), RSSI (responsables de la sécurité des systèmes d’information) et informaticiens. Les juristes et les utilisateurs pourront également y trouver des éléments utiles.
