[Clôturée] Sécurité des systèmes à risque majeur en cas de violation : la CNIL lance une consultation publique sur un projet de recommandation

28 août 2023

Pour certains systèmes informatiques dits « traitements critiques », une violation des données engendrerait des risques particulièrement élevés pour les personnes : en conséquence, ils nécessitent un niveau de sécurité adéquat. Afin d’accompagner au mieux les professionnels concernés, la CNIL soumet une recommandation à consultation publique.

Quel est l’objet de la recommandation soumise à consultation publique ?

La sécurité des données personnelles est une composante essentielle à la conformité RGPD et est, en conséquence, particulièrement contrôlée par la CNIL : en 2022, un tiers des sanctions prononcées par la CNIL visait des manquements à l’obligation de sécurité. À travers des publications régulières, la CNIL facilite l’appréhension de cette obligation par les acteurs :

le guide RGPD sur la sécurité des données personnelles regroupe les bonnes pratiques élémentaires et s’adresse à toute entité traitant des données, personnelles ou non ;
des recommandations plus spécifiques sont également disponibles à travers les publications sectorielles (par exemple à travers le référentiel sur les entrepôts de données de santé) ou propres à une technologie (comme les API).
des communications pédagogiques et de sensibilisation, notamment sur les violations de données rencontrées par les professionnels.

Pour les traitements présentant des risques majeurs, la CNIL souhaite regrouper l’ensemble des pratiques avancées de sécurité qu’elle recommande de mettre en place au sein d’un unique document. Cette recommandation cible tout particulièrement les traitements dits « critiques », qu’elle définit par les deux critères cumulatifs suivants :

le traitement est à grande échelle au sens du RGPD ;
une violation de données personnelles pourrait avoir des conséquences très importantes soit pour les personnes concernées, soit pour la sûreté de l’État ou pour la société dans son ensemble.

Qui peut participer à la consultation publique ?

Le projet de recommandation et la consultation publique s’adressent de manière non exclusive aux responsables de traitement(s) critique(s) ainsi définis.

La consultation est ouverte à tout organisme public ou privé intéressé par ce document en tant que référence de bonnes pratiques pour garantir la sécurité des traitements de données personnelles.

Quel est le calendrier de la consultation ?

Nous vous invitons à nous faire part de votre avis sur le projet de recommandation avant le 22 octobre 2023.

Cette consultation permettra de confirmer la définition d’un traitement critique et les mesures de sécurité associées. La recommandation pourra également être complétée de toute suggestion provenant de l’écosystème. La CNIL publiera la recommandation finalisée au début de l’année 2024.