Le 3 avril dernier, la CNIL publiait sur son site internet, une nouvelle version de son guide de la sécurité des données personnelles. L’objectif ? Rappeler les précautions élémentaires à mettre en œuvre pour les acteurs (privés comme publics) traitant des données à caractère personnel.
Si le RGPD précise que la protection des données personnelles nécessite de prendre les « mesures techniques et organisationnelle appropriées afin de garantir un niveau de sécurité adapté au risque » cette exigence s’applique aussi bien aux responsables de traitement, qu’aux sous-traitants impliqués. Pour autant, la CNIL reconnaît que la gestion des risques, permettant de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement » est parfois difficile à mettre en œuvre, notamment lorsque ces notions ne nous sont pas familières. Elle consacre ainsi, dans son avant-propos, une approche en 3 étapes, à mettre en œuvre dans le cadre d’une gestion des risques.
L’approche de la CNIL (schématisée par l’Agence RGPD)
En guise de support pour l’étape 2 « Apprécier le risque », la CNIL met à disposition le tableau suivant :
| RISQUES | Accès illégitime à des données (confidentialité) | Modification non désirée des données (intégrité) | Disparition de données (disponibilité) |
| Impacts sur les personnes | |||
| Principales sources de risques | |||
| Principales menaces | |||
| Mesures existantes ou prévues | |||
| Gravité pour les personnes | |||
| Vraisemblance |
