Sécurité : Avant-propos

26 mars 2024

L’objectif de ce guide est d’accompagner les organismes dans la mise en place de mesures de sécurité pour assurer la protection des données personnelles qu’ils traitent.

Il s’adresse notamment aux délégués à la protection des données (DPD), aux responsables de la sécurité des systèmes d’information (RSSI) et aux informaticiens. Les juristes en protection de la vie privée pourront également y trouver des éléments utiles.

Ce guide est un outil vivant qui est enrichi des pratiques à l’état de l’art et des éléments de doctrine de la Commission nationale de l’informatique et des libertés (CNIL) sur la question de la sécurité des données.

Un journal des modifications est disponible sur le site de la CNIL pour aider les acteurs à repérer les évolutions à prendre en compte afin d’adapter leur niveau de sécurité.


La sécurité est un élément essentiel de la protection des données personnelles. Elle s’impose à tout responsable de traitement et sous-traitant à travers l’article 32 du Règlement général sur la protection des données (RGPD). En principe, chaque traitement doit faire l’objet d’un ensemble de mesures de sécurité décidées en fonction du contexte, à savoir « des précautions utiles, au regard de la nature des données et des risques présentés par le traitement » (article 121 de la loi Informatique et Libertés).

Le RGPD précise que la protection des données personnelles nécessite de prendre les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » pour les droits et libertés des personnes physiques, notamment leur vie privée.

Pour évaluer les mesures à mettre en place, deux approches complémentaires sont à déployer :

  • la mise en place d'un socle de sécurité reprenant les bonnes pratiques issues d’années de capitalisation d’hygiène et de sécurité informatique (ex. : règlementations, normes, guides). Ce socle vise à répondre aux risques les plus courants ;
     
  • l’analyse des risques pour les personnes concernées par le traitement qui vise à identifier et évaluer les risques spécifiques au traitement. Une telle analyse permet d’étayer la prise de décision objective sur le traitement de ces risques et la détermination de mesures nécessaires et adaptées au contexte.

Il est cependant difficile, pour les non-spécialistes de la sécurité informatique, de mettre en œuvre une telle démarche et de s’assurer que le niveau de sécurité des traitements dont ils sont responsables est suffisant.

Pour aider dans la mise en conformité, ce guide présente un ensemble de préconisations regroupées par fiches thématiques. Chaque fiche est structurée en trois sections :

  • les précautions élémentaires, qui reprennent les bonnes pratiques essentielles ;
  • les mauvaises pratiques tendancielles, qui devraient être évitées ;
  • les mesures complémentaires, pour aller plus loin.

Chaque fiche peut être lue séparément des autres : des renvois sont indiqués quand une autre fiche apporte plus de précisions sur un élément.