La CNIL a soumis ce 28 Août 2023 à consultation publique [1], un projet de recommandation relatif à la sécurisation des traitements automatisés de données à caractère personnel présentant des risques d’une ampleur particulièrement importante.
Un traitement est dit critique lorsqu’il est effectué à grande échelle au sens du RGPD et que les conséquences d’une violation de données à caractère personnel seraient très importantes pour les personnes concernées, pour la sûreté de l’État ou pour la société dans son ensemble.
Ces traitements sont tels qu’une violation de données peut impliquer une action des pouvoirs publics pour en maîtriser ou corriger les conséquences. Ce sont par exemple, les bases de données clients et autres traitements qui réunissent une part importante de la population française du fait de services essentiels fournis par le responsable du traitement ; les services publics dématérialisés à grande échelle tels que le service des impôts ou de gestion de l’identité ; tous les traitements de santé à grande échelle ; les traitements mis en œuvre dans le cadre de la fourniture de services nécessaires ou non à la sécurité de la population mais qui, du fait de leur popularité, ont conduit à la constitution d’une base de données contenant des données sensibles au sens du RGPD ou à caractère hautement personnel.
Les opérateurs d’importance vitale (OIV), au sens de l’article R. 1332-1 du code de la défense et les entités dites essentielles et importantes visées par la directive européenne 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (dite directive « SRI 2 ») peuvent être concernés par cette recommandation pour leurs traitements impliquant des données à caractère personnel.
Du fait de leur degré de sensibilité élevé, ces traitements nécessitent une protection supplémentaire à celle imposée de manière générale à tous les responsables de traitement par l’article 32 du RGPD et telle que détaillée dans le guide de la sécurité des données-personnelles publié par la CNIL et Le guide d’hygiène informatique de l’Agence Nationale de la Sécurité des Systèmes Informatiques.
En raison des risques particuliers pesant sur ces traitements, la CNIL a émis plusieurs consignes dans le but de renforcer la sécurité déployée pour ces traitements.
La gestion de la protection des données
La CNIL recommande que les traitements critiques soient particulièrement suivis par la direction générale des responsables de traitement par la mise en place de bilans annuels permettant de retracer les failles de sécurité ainsi que les objectifs à atteindre dans un processus d’amélioration continue. Pour cela, la CNIL recommande la création d’un comité de suivi des traitement critique et qu’il soit nommé un référent spécifique pour chaque traitement critique mis en œuvre. Ce référent pourra notamment être sollicité en cas d’échange entre la CNIL et le responsable de traitement.
La gestion des risques
La CNIL recommande que la mise en œuvre des traitements critiques fasse automatiquement l’objet d’une AIPD et d’une homologation. Cette homologation de sécurité consiste, pour le responsable du traitement, à faire valider par la personne sous l’autorité de laquelle le traitement est mis en œuvre (par exemple, le directeur général dans une entreprise ou la personne délégataire du pouvoir de décision) le niveau de sécurité du traitement, les risques résiduels identifiés et le plan d’action visant à maintenir et à améliorer le niveau de sécurité du traitement dans le temps.
La nécessité de cultiver une maturité élevée en sécurité et protection des données à caractère personnel
L’autorité de contrôle estime que les organismes qui mettent en œuvre des traitements critiques doivent d’une manière générale, disposer d’un niveau de maturité élevé en matière de sécurité des systèmes d’information et insiste particulièrement sur la nécessité du responsable de traitement d’être doté d’un RSSI et d’une équipe à même d’inclure la sécurité des traitements critiques dès la conception et lors de la modification des systèmes d’information. Elle recommande qu’un accent soit mis sur la formation et la sensibilisation des acteurs (collaborateurs et prestataires extérieurs) intervenant dans le traitement des traitements critiques aux enjeux de sécurité informatique en matière de protection des données.
La mise en place d’une démarche de défense en profondeur
La démarche de défense en profondeur consiste à mettre en œuvre des mesures de sécurité doubles tels que le chiffrement associé au chiffrement lors des transmissions des données critiques ; les responsables de traitements sont notamment appelés à s’inspirer de la logique « zéro confiance » en tant que modèle d’architecture limitant la confiance implicite accordée au sein du système de défense périmétrique.
La nécessité de se préparer activement à d’éventuels incidents de sécurité ou violations de données
Les traitements critiques doivent faire l’objet de mesures de traçabilité particulièrement poussées accompagnée de mesures d’analyse automatique des journaux. La CNIL a mentionné le rôle crucial des sous-traitants et des personnes concernées dans la sécurité des traitements et dans la gestion des incidents de sécurité.
Les organismes mettant en œuvre des traitements critiques devraient également se doter d’une capacité de réponse rapide aux incidents.
La maitrise des relations avec les tiers
La CNIL rappelle la nécessité de se conformer aux exigences de l’article 28 du RGPD relatif aux obligations du sous-traitants et recommande que ces derniers informent le responsable de traitement en cas de rachat ou de tout autre changement de contexte qui pourrait impacter les conditions matérielles ou contractuelles du service fourni.
Le projet de recommandation de la CNIL est ouvert à consultation publique jusqu’au 8 octobre 2023.