Cnil

données soient déformées, endommagées, ou que des tiers non autorisés y aient accès.» (Art.34 loi IL). Cette sécurité se conçoit pour l’ensemble des processus relatifs à ces données, qu’il s’agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité. Ce guide s’adresse à tout responsable de traitement ainsi qu’à toute personne disposant d’un minimum de connaissances informatiques (administrateur système, développeur, responsable de la sécurité des systèmes d’information, utilisateur…) et souhaitant évaluer le niveau de sécurité dont doit bénéficier tout traitement de données à caractère personnel. Il présente un ensemble de préconisations essentielles regroupées par fiches thématiques concernant la sécurité de données à caractère personnel. Chaque fiche est structurée en trois sections : - les précautions élémentaires ; - ce qu’il ne faut pas faire ; - pour aller plus loin. La section «Pour aller plus loin» recommande des mesures additionnelles aux précautions élémentaires. Parmi l’ensemble des préconisations, certaines sont issues de bonnes pratiques en matière de gestion de la sécurité des systèmes d’informations, tandis que d’autres résultent des règles relatives à la protection de données à caractère personnel du fait de la spécificité de ces informations.

1

Bien entendu, aux yeux des experts et des profanes, ce guide ne répondra pas complètement à leurs attentes, jugeant qu’il ne va pas assez ou trop loin. J’espère néanmoins qu’il satisfera au plus grand nombre, et je peux d’ores et déjà annoncer qu’un document plus élaboré est en cours de préparation.

Alex TÜRK Président de la CNIL

La Commission Nationale de l’Informatique et des Libertés La CNIL, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions d’information, de conseil, d’expertise et de veille technologique. La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrôle la mise en œuvre des fichiers informatiques et peut également procéder à des vérifications sur place.

L’ensemble de ces informations est également disponible sur le site Internet de la CNIL : http://www.cnil.fr/dossiers/securite

G U I D E P R AT I Q U E S É C U R I T É

2

A V A N T- P R O P O S

Ce premier guide «sécurité» est évidemment perfectible. Aussi, le lecteur ne devra-t-il pas hésiter à nous contacter pour nous transmettre ses propositions en la matière.

Introduction

I N T R O D U C T I O N

Sécuriser un système informatique nécessite de prendre en compte tous les aspects de sa gestion. Cette sécurité passe par le respect de bonnes pratiques et le maintien de l’outil informatique à l’état de l’art quant aux attaques dont il peut faire l’objet. Toutefois, cette sécurité ne sera effective qu’à condition de faire preuve de rigueur notamment dans la délivrance (et le retrait) des habilitations ainsi que dans le traitement des inévitables incidents. Afin de garantir que chaque utilisateur du système informatique n’accède qu’aux données qu’il a besoin de connaître, deux éléments sont nécessaires : - la remise d’un identifiant unique à chaque utilisateur associé à un moyen de s’authentifier : une méthode d’authentification ; - un contrôle a priori de l’accès aux données pour chaque catégorie d’utilisateurs : une gestion des habilitations. La protection de données concernant des personnes impose en plus que celles-ci soient : - «collectées et traitées de manière loyale et licite» (Art. 6 al.1 loi I&L) - collectées pour des finalités déterminées, explicites et légitimes et ne « soient pas traitées ultérieurement de manière incompatible avec ces finalités» (Art. 6 al.2 loi I&L).

Ces obligations ne peuvent s’apprécier qu’à travers l’usage qui est fait du système informatique. Par conséquent, il est nécessaire de procéder à une journalisation, c’est-à-dire l’enregistrement des actions de chaque utilisateur sur le système pendant une durée définie. En outre, la loi Informatique et Libertés dispose que les données soient «exactes, complètes et si nécessaires mises à jour.» (Art. 6 al.4 loi I&L). Ces obligations nécessitent que les systèmes d’information prévoient des mécanismes garantissant l’intégrité des données. La loi dispose également que ces données soient «conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées» (Art. 6 al.5 loi I&L). Les systèmes doivent donc prévoir la suppression, l’archivage, ou encore l’anonymisation de ces données, lorsque leur durée de conservation est atteinte. Enfin, gérer les risques constitue un moyen efficace de protéger les «libertés et droits fondamentaux des personnes physiques, notamment leur vie privée, à l’égard du traitement des données à caractère personnel» (article premier de la Directive 95/46/CE).

3

Pour rappel, la CNIL peut procéder à des vérifications sur place. En outre, la formation restreinte peut prononcer diverses sanctions graduées : avertissement, mise en demeure, sanctions pécuniaires, injonction de cesser le traitement. Le montant des sanctions pécuniaires peut atteindre 150 000 euros lors du premier manquement constaté puis 300 000 euros, ou 5% du chiffre d’affaire hors taxes du dernier exercice, dans la limite de 300 000 euros , s’il s’agit d’une entreprise. Le montant de ces sanctions est «proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement». La CNIL peut également dénoncer pénalement les infractions à la loi dont elle a connaissance au Procureur de la République.

G U I D E P R AT I Q U E S É C U R I T É

4

I N T R O D U C T I O N

Termes & définitions

D E F I N I T I O N S T E R M E S &

Authentification : «l’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.» (ANSSI Agence Nationale de la Sécurité des Sustèmes d’Information). Destinataire des données : «toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données» (Art. 3 loi I&L). Donnée à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne» (Art. 2 loi I&L). Données sensibles : les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci» (Art. 8 loi I&L). Responsable de traitement : «la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement» (Art. 3 loi I&L). Tiers : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données (directive 95/46/CE). Traitement : sauf mention explicite, un traitement s’entend dans ce document comme un traitement de données à caractère personnel. Traitement de données à caractère personnel : «toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).