La CNIL (Commission nationale de l’informatique et des libertés) publie 2 nouveaux guides sécurité pour gérer les risques sur la vie privée. Ils se composent d’une méthode et d’un catalogue de mesures pour aider les organismes à gérer les risques sur la vie privée. Ces outils opérationnels doivent faciliter l’intégration de la protection de la vie privée dans les traitements à l’aide d’une approche pragmatique, rationnelle et systématique : le Guide : gérer les risques sur les libertés et la vie privée (29 pages, en pdf) et le Guide : mesures pour traiter les risques sur la liberté et la vie privée : Catalogue de bonnes pratiques “Informatique et libertés” – édition 2012 (93 pages, en pdf).
Guide : gérer les risques sur les libertés et la vie privée
Le Guide : gérer les risques sur les libertés et la vie privée présente une méthode pour gérer les risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur Il a pour but de les aider à appliquer la Loi Informatique et Libertés et doit leur permettre :
- d’avoir une vision objective des risques engendrés par leurs traitements ;
- de savoir choisir les mesures de sécurité nécessaires et suffisantes pour « prendre toute précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34 de la Loi Informatique et Libertés).
Guide : mesures pour traiter les risques sur la liberté et la vie privée : Catalogue de bonnes pratiques “Informatique et libertés”, édition 2012
Le Guide : mesures pour traiter les risques sur la liberté et la vie privée : Catalogue de bonnes pratiques “Informatique et libertés” – édition 2012 est un catalogue de bonnes pratiques destinées à traiter les risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur les libertés et la vie privée des personnes concernées. Il complète la méthode de gestion des risques sur les libertés et la vie privée de la CNIL. Il aide à déterminer des mesures proportionnées aux risques identifiés avec cette méthode. Il ne se limite pas aux considérations techniques des systèmes informatiques, mais s’applique aux systèmes d’information dans leur globalité : systèmes informatiques, personnes, documents papiers, organisation, locaux…
Le catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :
- les “éléments à protéger” : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits…
- les “impacts potentiels” : sauvegarder les données, tracer l’activité, gérer les violations de données…
- les “sources de risques” : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
- les “supports” : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…
Pour traiter un risque identifié et le réduire à un niveau acceptable, l’utilisateur des guides peut sélectionner une ou plusieurs mesures appropriées. Il est impératif d’adapter les mesures au risque et au contexte particulier du traitement considéré.