Par Haas Avocats
Dans le cadre du traitement des données à caractère personnel, les responsables de traitement et sous-traitants doivent mettre en œuvre les mesures nécessaires pour garantir la sécurité de ces données[1].Pour faciliter la mise en place de ces mesures, la CNIL publie depuis plusieurs années un guide destiné à les accompagner dans leur démarche. En effet, ce guide constitue une référence pour ces acteurs (et plus précisément pour les délégués à la protection des données, les responsables de la sécurité des systèmes d’information, les informaticiens et juristes). Mais pas seulement, puisque la CNIL s’en sert également de référence elle-même pour apprécier la sécurité des traitements de données personnelles.
L'adaptation technologique des données personnelles
Force est de constater que les données personnelles, bien que protégées par principe sous l’égide du RGPD, sont soumises au gré des évolutions des technologies numériques.
A cet égard, la CNIL met régulièrement à jour ses préconisations. Dans l’édition 2024, au-delà d’étoffer et de compléter ses précédentes fiches pratiques, la CNIL en a profité pour aborder de nouveaux thèmes. Particulièrement, l’autorité de protection des données a réalisé un focus sur l’informatique en nuage (Cloud), les applications mobiles, les interfaces de programmation applicatives (API), le pilotage de la sécurité des données, ou encore l’intelligence artificielle.
Pour chaque thème, la CNIL aborde ses préconisations, mais également ce qu’il ne faut pas faire. Elle propose également d’approfondir chaque sujet abordé.
A noter que pour les habitués des précédentes versions du guide, un journal des modifications est disponible pour leur permettre d’appréhender les nouveautés de cette édition 2024.
L’enrichissement général du guide la sécurité des données personnelles
A cet égard, l’obligation de sécurité des données personnelles a été plus amplement développée dans ses grandes lignes. Notamment, la CNIL a ajouté une fiche introductive sur le pilotage de la sécurité des données et les précautions élémentaires devant être envisagées.
La CNIL a également décidé de mettre à jour ou d’étoffer certaines fiches pratiques pour les développer plus amplement, voire de scinder certains thèmes en plusieurs fiches pour donner des détails exhaustifs sur les bonnes pratiques.
Par exemple, concernant le thème de la sécurité de l’informatique mobile, la CNIL l’a complété avec des précautions relatives à la pratique du BYOD « Bring your own device », qui consiste pour les utilisateurs à n’utiliser que leurs équipements personnels. Une telle pratique doit nécessairement être encadrée afin d’éviter d’exposer les ressources numériques de l’organisme à des cyber attaques réalisées par rebond sur l’ordinateur personnel de l’employé.
Le développement de nouveaux thèmes pour le guide de la sécurité des données personnelles
La CNIL a eu surtout l’occasion d’aborder des sujets d’actualité, et notamment un thème autant populaire qu’il inquiète, en matière de données personnelles : l’intelligence artificielle.
En effet, la question qui a émergé avec ces systèmes d’intelligence artificielle portait notamment sur le contenu des données d’entrainement utilisées par les concepteurs. Parmi ces données, se trouvent nécessairement des données à caractère personnel. Face à ces risques, les ingénieurs en IA, qui se trouvent être responsables de traitement ou sous-traitants par la même occasion, doivent vérifier la fiabilité de la source des données, sa licéité ou encore la présence éventuelle de biais pouvant provenir de la manipulation des données par un tiers malveillant.
Toutes ces mesures vérificatives, qui sont en réalité bien plus nombreuses et exhaustives, participent de l’obligation de s’assurer de la sécurité des données personnelles et se déclinent pour chaque problématique nouvelle.
Ce guide est assurément un « must to read » compte tenu du contexte technologique actuel propice aux innovations et aux cyber attaques !
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article 32 du RGPD