La période de fin d’année est l’occasion de réviser les bonnes pratiques en matière de sécurité. Cette année nous allons quelques révisions sur ce que nous dit la CNIL (Commission Nationale de l’Informatique et des Libertés, France) :

« Sécuriser un système informatique nécessite de prendre en compte tous les aspects de sa gestion. Cette sécurité passe par le respect de bonnes pratiques et le maintien de l’outil informatique à l’état de l’art quant aux attaques dont il peut faire l’objet. Toutefois, cette sécurité ne sera effective qu’à condition de faire preuve de rigueur notamment dans la délivrance (et le retrait) des habilitations ainsi que dans le traitement des inévitables incidents.

Afin de garantir que chaque utilisateur du système informatique n’accède qu’aux données qu’il a besoin de connaître, deux éléments sont nécessaires :

  • la remise d’un identifiant unique à chaque utilisateur associé à un moyen de s’authentifier : une méthode d’authentification ;
  • un contrôle a priori de l’accès aux données pour chaque catégorie d’utilisateurs : une gestion des habilitations.

La protection de données concernant des personnes impose en plus que celles-ci soient :

  • «collectées et traitées de manière loyale et licite» (Art. 6 al.1 loi I&L);
  • «collectées pour des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités» (Art. 6 al.2 loi I&L).

Ces obligations ne peuvent s’apprécier qu’à travers l’usage qui est fait du système informatique. Par conséquent, il est nécessaire de procéder à une journalisation, c’est-à-dire l’enregistrement des actions de chaque utilisateur sur le système pendant une durée définie.

En outre, la loi Informatique et Libertés dispose que les données soient «exactes, complètes et si nécessaires mises à jour.» (Art. 6 al.4 loi I&L). Ces obligations nécessitent que les systèmes d’information prévoient des mécanismes garantissant l’intégrité des données.

La loi dispose également que ces données soient «conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées» (Art. 6 al.5 loi I&L). Les systèmes doivent donc prévoir la suppression, l’archivage, ou encore l’anonymisation de ces données, lorsque leur durée de conservation est atteinte.

Enfin, gérer les risques constitue un moyen efficace de protéger les «libertés et droits fondamentaux des personnes physiques, notamment leur vie privée,

à l’égard du traitement des données à caractère personnel» (article premier de la Directive 95/46/CE).

Pour rappel, la CNIL peut procéder à des vérifications sur place. En outre, la formation restreinte peut prononcer diverses sanctions graduées : avertissement, mise en demeure, sanctions pécuniaires, injonction de cesser le traitement. Le montant des sanctions pécuniaires peut atteindre 150 000 euros lors du premier manquement constaté puis 300 000 euros, ou 5% du chiffre d’affaire hors taxes du dernier exercice, dans la limite de 300 000 euros , s’il s’agit d’une entreprise. Le montant de ces sanctions est «proportionné à la gravité des manquements

commis et aux avantages tirés de ce manquement».

La CNIL peut également dénoncer pénalement les infractions à la loi dont elle a connaissance au Procureur de la République. »

Source CNIL : http://www.cnil.fr/les-themes/securite

Philippe

Chef de projet Sécurité