La cybersécurité et la protection des données personnelles demeurent des notions étroitement liées. L’article 32 du Règlement 2016/679 du 27 avril 2016 (RGPD) impose en effet une obligation pour les responsables de traitement de « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

C’est afin d’assister les entreprises dans la protection de leurs données que la CNIL a publié le 3 avril 2023 une nouvelle version de son guide sur la sécurité des données.

Ce guide, qui s’adresse à l’ensemble des professionnels procédant à des traitements de données, regroupe les recommandations de la Commission dans 17 fiches pratiques dédiées à tous les aspects de la cybersécurité.

Parmi les nouveautés notables, on trouve la prise en compte dans la fiche n°2, « authentifier les utilisateurs », des recommandations publiées durant l’été 2022 par la CNIL concernant les mots de passe. Cette recommandation est basée sur la notion de complexité ou d’entropie des mots de passe, et non la recherche d’une longueur minimale.

De la même manière, la fiche n°4 « Tracer les opérations et gérer les incidents » inclut maintenant les mesures décrites dans la recommandation relative à la journalisation de 2021. Cette publication traite du délicat équilibre entre sécurité, surveillance et gestion des risques que doit trouver le responsable de traitement lorsqu’il met en place une traçabilité des accès et des actions.

La fiche n°12 est quant à elle consacrée aux développeurs, et a été enrichie des conseils de sécurité publiés dans le guide CNIL pour l’équipe de développement publié fin 2021. Ce guide revenait notamment sur l’usage des cookies et solutions de mesures d’audience.

Enfin, les fiches n°15 (Sécuriser les échanges avec d’autres organismes) et n°17 (chiffrer, hacher ou signer) ont été mises à jour des dernières évolutions de l’état de l’art concernant ces pratiques.

Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion des données personnelles recueillies dans le cadre de votre activité et de leur sécurité.

Pour toute question, n’hésitez pas à nous contacter.