Quelles mesures renforcées la CNIL prévoit-elle dans le cadre du RGPD ?

Par Haas Avocats

La réponse de la CNIL se structure autour de deux axes majeurs :

• Le premier concerne le cadre juridique renforcé, ancré dans le Règlement Général sur la Protection des Données (RGPD). Il rappelle les obligations légales imposant aux responsables de traitement et sous-traitants de garantir un niveau de sécurité adapté aux risques, tout en encadrant strictement les relations contractuelles avec les prestataires externes.
• Le second axe porte sur les mesures techniques et organisationnelles prioritaires, telles que l’authentification multi facteur, la journalisation des accès et la sensibilisation des acteurs, indispensables pour prévenir les incidents et limiter leur impact.

Données personnelles : RGPD et responsabilité renforcée des acteurs

Rappel des obligations légales issues du RGPD

La CNIL s’appuie sur l’article 32 du RGPD, qui impose aux responsables de traitement et sous-traitants de mettre en place des mesures de sécurité adaptées aux risques. Ces mesures doivent intégrer l’état de l’art en cybersécurité, ainsi que les principes de minimisation des données[1] et de limitation de leur durée de conservation.

La CNIL insiste sur le caractère contraignant de ces obligations pour les bases contenant des données de plusieurs millions de personnes, jugées critiques en raison de leur impact sociétal, notamment les risques d’usurpation d’identité ou d’hameçonnage.

Souvent négligée par les responsables de traitement et sous-traitants, il est important de rappeler qu’un manquement à la sécurité expose les organismes à des amendes pouvant atteindre 10 millions d’€ ou 2 % du chiffre d’affaires.

Sous-traitants et RGPD : les obligations contractuelles

Le rôle des sous-traitants est, en effet, central dans les violations récentes. La CNIL exige un contrat conforme à l’article 28 du RGPD, précisant les obligations de sécurité, les audits périodiques et la notification immédiate des violations.

Empiriquement, il est vrai que de nombreux sous-traitants ont tendance à se concentrer sur le contrat de prestation de service en négligeant l’accord sur la protection des données paraphrasant souvent les dispositions du RGPD sans réelle plus-value ou précisions.

Quelles sont les nouvelles exigences de la CNIL en matière de sécurité des données ?

Authentification multifacteur (MFA) : un pilier pour sécuriser les accès

La CNIL identifie la MFA comme une mesure incontournable pour les accès externes aux grandes bases de données. Elle rappelle que 80 % des violations en 2024 résultaient de l’usurpation de comptes protégés uniquement par un mot de passe. Elle recommande l’utilisation d’un facteur de possession, comme une clé physique conforme aux normes ANSSI.

Les coûts de déploiement, bien que significatifs et souvent soulevés par les responsables de traitement et les sous-traitants, sont jugés proportionnés au regard des risques.

La MFA pourrait idéalement être cumulée à une politique de mot de passe déployée au sein de l’organisme afin de se protéger contre différentes sources de violations de comptes comme l’attaque bruteforce ou l’ingénierie sociale.

La CNIL annonce un renforcement des contrôles dès 2026, avec des sanctions en cas de non-conformité.

Journalisation et supervision des accès : les recommandations clés de la CNIL

La CNIL préconise une supervision renforcée des flux de données, incluant une journalisation ciblée des accès (applicatifs, API, réseau) avec conservation des logs pendant 6 à 12 mois. Elle insiste sur la détection d’anomalies, telle que la limitation des volumes d’extraction, la surveillance des flux sortants et le blocage des requêtes malveillantes.

Elle souligne également l’importance de moyens humains dédiés pour analyser les alertes et réagir rapidement, en s’appuyant sur les guides ANSSI et sa propre recommandation sur la journalisation.

Parallèlement, la sensibilisation des utilisateurs, qu’ils soient collaborateurs ou sous-traitants, est essentielle pour éviter les erreurs humaines, comme le partage de comptes ou les clics sur des liens d’hameçonnage.

La journalisation pourrait aussi idéalement être cumulée à une politique d’habilitation et de traçabilité et/ou une charte administrateur des SI au sein de l’organisme afin d’encadrer l’administration du réseau et le traitement de journalisation.

Quels enjeux pour la sécurité des données en Europe ?

La CNIL inscrit son action dans un contexte de cybermenaces croissantes et d’évolution technologique, notamment avec le cloud et l’IA. Son plan stratégique 2025-2028 vise à harmoniser les pratiques avec les standards européens, comme la directive NIS 2, et à anticiper les risques émergents, tels que l’exploitation de l’IA par les attaquants.

En ce sens, alors que les violations de données sur de grandes bases de données ne cessent de se multiplier, les recommandations de la CNIL marquent un tournant vers une gouvernance plus rigoureuse et proactive de la sécurité des SI. Toutefois, ces mesures techniques, organisationnelles et juridiques, aussi indispensables soient-elles, ne suffisent plus à elles seules face à l'évolution rapide des menaces liées à l’IA.

Dans ce contexte, l’IA devient à la fois un levier puissant de protection (Ex : détection d’anomalies ou la réponse aux incidents) et une menace redoutable entre des mains malveillantes.

Cette dualité impose une vigilance accrue des autorités de régulation, mais aussi une évolution des pratiques professionnelles, juridiques et techniques à l’échelle européenne surtout pour les grandes bases de données.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

[1] art. 5.1.f du RGPD