Le brief du 28 mars 2024

Publié dans DroitSécurité

1

La CNIL met à jour son guide de mise en conformité avec le RGPD

Capture d'écran d'un guide de la CNILCNIL

La mise à jour 2024 du guide de la sécurité des données personnelles de la CNIL, publié depuis des années « pour accompagner les organismes dans leur mise en conformité avec l’obligation de sécurité informatique posée par le RGPD », comporte cinq nouvelles fiches. L'informatique en nuage (cloud), les applications mobiles, l'intelligence artificielle, les interfaces de programmation applicative (API) et le pilotage de la sécurité des données.

La CNIL rappelle qu'il a été conçu pour regrouper des pratiques « à l’état de l’art » en matière de sécurité des données, « ainsi que des éléments de doctrine de la CNIL sur le sujet », afin de constituer « une référence » dont les délégués à la protection des données (DPD), responsables de la sécurité des systèmes d’information (RSSI), informaticiens et juristes « pourront se saisir dans le cadre de leur activité liée à la sécurité des données ».

Elle souligne également s'en servir elle-même « pour son appréciation de la sécurité des traitements de données personnelles », et donc a priori aussi lors des contrôles qu'elle peut être amenée à effectuer.

Le document est structuré en cinq parties (les utilisateurs, mon informatique/mes équipements, ma maîtrise des données, se préparer à un incident, et une série de « focus » thématiques) afin de « faciliter la navigation entre ses 25 fiches ». Il fait 64 pages (.pdf, mais est également disponible sous forme de pages web et de .pdf dédiés), et liste tout autant « les pratiques élémentaires » que « ce qu'il ne faut pas faire », check-lists d'évaluation à l'appui.

La CNIL propose en outre un journal des modifications pour identifier plus rapidement les nombreuses autres mises à jour de son guide. Son objectif est d’ « aider les acteurs à identifier les évolutions qui doivent être apportées aux mesures en place au sein de leur organisme ».

On y lit qu'a aussi été créée une nouvelle fiche d' « analyse de risques » à partir du contenu présent précédemment en avant-propos. Plusieurs autres fiches ont été découpées en deux afin d'étoffer leurs contenus. Une « communication sur les pratiques interdites en matière de mots de passe » a été ajoutée. Plusieurs fiches ont été simplifiées ou clarifiées, avec des passages ajoutés ou modifiés, voire supprimés.

1

Tiens, en parlant de ça :

Le fichier des empreintes digitales sera interconnecté avec huit autres fichiers

FAED y verse

17:24 DroitSécu 2
Les logos de Facebook et Meta dans des carrés en 3D sur un fond grisé dégradé

Le ciblage publicitaire ne peut pas utiliser des données personnelles récupérées ailleurs

Schrems vs Meta, encore et encore

16:53 DroitSocials 6

Windows 11 ajoute des publicités dans le menu Démarrer, comment les supprimer

Rogntudjuuu !

11:18 Soft 58
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

1

Fermer

Commentaires (1)


justmwa Abonné
Le 28/03/2024 à 09h 28
https://www.cnil.fr/fr/securite-cloud-informatique-en-nuage :
Ce qu'il ne faut pas faire
Migrer toutes ses données et traitements dans le cloud, sans identifier les données qui ne devraient pas faire l’objet d’un traitement dans le cloud, en raison de leur sensibilité.
l'Etat, champion du monde de "faites ce que je dis, pas ce que je fais"