Portable dans un train

Ce que dit la CNIL a propos de la mobilité et la securité des données personnelles

La Commission nationale de l’informatique et des libertés publie un guide qui vise à accompagner les professionnels dans leur mise en conformité avec le RGPD.

 

Oct 2022
Par Frédéric Forster, Alain Bensoussan Avocats Lexing

La publication de l’autorité administrative française précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32 du RGPD). Cette édition a vocation à être utilisée dans le cadre d’une gestion des risques qui se base sur quatre grandes étapes (lire en encadré).

Le sujet de la sécurité est appréhendé au moyen de 17 fiches, dont l’une est dédiée à la sécurisation de l’informatique mobile. En effet, les dispositifs mobiles, qu’il s’agisse des ordinateurs portables, des clés USB, des tablettes ou encore des téléphones, se sont multipliés au point de rendre indispensable d’anticiper les atteintes à la sécurité des données consécutives au vol ou à la perte de tels équipements.

PRÉCAUTIONS ÉLÉMENTAIRES

La Cnil recommande, dans ces circonstances, de mettre en oeuvre des précautions qu’elle juge élémentaires tels que sensibiliser les utilisateurs aux risques spécifiques liés à l’usage d’outils informatiques mobiles (par exemple, le vol de matériel) et aux procédures prévues pour les limiter ;

mettre en oeuvre des mécanismes maîtrisés de sauvegardes ou de synchronisation des postes nomades, pour se prémunir contre la disparition des données stockées ;

prévoir des moyens de chiffrement des postes nomades et des supports de stockage mobiles (ou la création de conteneurs chiffrés) ;

activer le verrouillage automatique des smarphones, et obliger d’exiger un secret pour le déverrouiller (mot de passe, schéma, etc.), en plus du code PIN de la carte SIM ;

mettre à disposition des usagers un filtre de confidentialité sur les écrans des postes utilisés dans des lieux publics ;

limiter le stockage des données au strict nécessaire sur les postes nomades, et éventuellement l’interdire lors de déplacement à l’étranger (consulter le « Passeport de conseils aux voyageurs » publié par l’Anssi) ;

prévoir des mécanismes de protection contre le vol (par exemple, un câble de sécurité ou le marquage visible du matériel) et de limitation de ses impacts (exemple : le verrouillage automatique ou le chiffrement) ;

prévoir le verrouillage de l’appareil après quelques minutes d’inactivité et la purge des données collectées sitôt qu’elles ont été transférées au système d’information de l’organisme.

À l’inverse de ces bonnes pratiques, la Cnil liste les comportements qu’il convient absolument de proscrire, tels que l’utilisation comme outil de sauvegarde ou de synchronisation des services cloud installés par défaut sur un appareil, sans analyse approfondie de leurs conditions d’utilisation et des engagements de sécurité pris par les fournisseurs de ces services. 

GÉRER LES RISQUES EN QUATRE ÉTAPES

  • Recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent.
  • Apprécier les risques engendrés pour chaque traitement grâce à l’identification des impacts potentiels, des sources de risque et des menaces réalisables.
  • Mettre en oeuvre et vérifier l’effectivité ou la pertinence des mesures prévues.
  • Faire réaliser des audits de sécurité périodiques.

BIO EXPRESS

Frederic Forster - Alain Bensoussan Avocats - Lexing

Avocat à la cour d’appel de Paris, Frédéric Forster dirige le pôle Télécoms du cabinet Alain Bensoussan Avocats Lexing depuis 2006. Il est également vice-président du réseau international d’avocats Lexing.