Données personnelles : la Cnil prépare un guide pour les « traitements critiques »
![Image DSA : [Shein] ajoutée à la liste des « très grandes plateformes »](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
![Image [Forum InCyber 2024] Intelligence artificielle & arnaques numériques : sommes-nous condamnés à se faire avoir ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
Le gendarme français des données a lancé une consultation pour finaliser une « recommandation » sur le sujet.
La Cnil a lancé, le 28 août 2023, une consultation publique sur son projet de recommandation relatif à la « sécurité des traitements critiques » de données personnelles. Ce document unique concernera les bases de données « à caractère hautement personnel » concernant « une part importante de la population française« .
Il peut s’agir de bases gérées par l’État (service des impôts, gestion de l’identité, assurance maladie…) ou le secteur privé (fourniture d’énergie, transport, banques, opérateurs télécoms…). Dans sa version actuelle, le texte recommande notamment aux organisations concernées la mise en place d’un CSIRT et d’une gouvernance dédiée à la protection des données.
Elles devront par ailleurs réaliser un exercice de cybersécurité au moins une fois tous les 2 ans et une sauvegarde hors ligne chiffrée au moins une fois par an. Tout nouveau déploiement d’un traitement critique des données nécessitera une étude d’impact et un état des lieux des risques. Les organisations concernées devront enfin privilégier les outils open source et la logique « zero trust ».
La consultation est ouverte aux organismes publics et privés jusqu’au 8 octobre 2023. La Cnil publiera la recommandation finalisée début 2024.