[DONNÉES PERSONNELLES – CYBERRISQUE] Mise à jour du guide de la CNIL sur la sécurité des données personnelles

[DONNÉES PERSONNELLES – CYBERRISQUE] Mise à jour du guide de la CNIL sur la sécurité des données personnelles

La CNIL a publié le 26 mars 2024 la dernière version de son guide sur la sécurité des données personnelles, incluant de nouvelles thématiques (cloud, IA, API), ainsi que la mise à jour de certaines mesures de sécurité.

Si vous n’avez que 30 secondes

 

Quelles sont les principales nouveautés du guide de la sécurité 2024 ?
–> 5 nouvelles fiches sur :

  • L’informatique en nuage ;
  • L’intelligence artificielle ;
  • Les applications mobiles ;
  • Les interfaces de programmations (API) ;
  • Le pilotage de la sécurité des données.

–> Les exigences de sécurité dans le cadre de l’utilisation des équipements personnels dans un cadre professionnel (BYOD) sont intégrées au guide.

Par ailleurs, la CNIL met utilement à disposition un journal des modifications par rapport à la version 2023 du guide.

 

1. Focus sur l’intelligence artificielle

 

La complexité et le volume important de données traitées via les systèmes d’intelligence artificielle (« SIA »), en font des systèmes particulièrement vulnérables, notamment s’agissant du traitement de données à caractère personnel. Les recommandations de la CNIL dédiées aux SIA visent à mettre en place un cadre de sécurité adapté à l’entraînement et au déploiement des SIA.

Ainsi, il est recommandé de mettre en œuvre notamment les actions suivantes :

  • Constituer une équipe de développement pluridisciplinaire, formée aux bonnes pratiques de sécurité et de vulnérabilité du SIA ;
  • Établir une procédure encadrant les développements incluant des tests de robustesse, des accès soumis à habilitation et authentification adaptées ;
  • Vérifier la qualité des données, l’absence de biais, la fiabilité des sources de données ;
  • Restreindre les possibilités de copies et d’accès aux bases de données ;
  • Recourir à des données fictives pour mener les tests de sécurité ;
  • Documenter de façon détaillée pour les développeurs et utilisateurs, la conception, le fonctionnement, les performances, les biais possibles, les équipements nécessaires et les conditions d’utilisation du SIA ;
  • Vérifier l’habilitation des utilisateurs du SIA ;
  • Préparer un plan d’audit du SIA.

Parmi les pratiques vivement déconseillées, il convient de ne pas :

  • Entraîner le SIA sur des données dont la source n’est pas connue ou pas fiable ;
  • Déployer un SIA sans vérifier la qualité des données sortantes (contenu haineux, données à caractère personnel, etc.) ;
  • Utiliser un SIA sans connaître ses limitations ou les conséquences en cas d’erreur ou de biais.

2. Focus sur le BYOD

 

Certains employeurs autorisent le « Bring your own device » (BYOD), permettant aux salariés d’utiliser leurs outils personnels dans le cadre de leur activité professionnelle. Le guide sécurité inclut désormais les recommandations de la CNIL sur le sujet (déjà en ce sens, les recommandations du 24 mars 2019, « BYOD : quelles sont les bonnes pratiques ? »).

La CNIL pose ainsi comme prérequis une évaluation des risques spécifiques du BYOD et subordonne son autorisation à un risque mesuré. L’accès aux données et applications via des équipements personnels doit être strictement limité et encadré selon le degré de criticité.

Il convient d’encadrer dans la charte informatique de l’organisation les modalités d’utilisation de ces équipements.

La CNIL rappelle utilement que l’organisation :

  • Ne peut pas prévoir des mesures de sécurité qui entravent l’utilisation d’un équipement personnel dans le cadre privé au motif qu’il est utilisé dans le cadre professionnel ;
  • Ne peut pas accéder à des éléments relevant de la vie privée des personnes stockés dans l’espace personnel d’un équipement personnel utilisé dans le cadre professionnel.