Le projet de la CNIL de recommandation relative à la sécurité des traitements critiques
Le 28 août 2023, la CNIL a publié son projet de recommandation relative à la sécurité des traitements critiques. Celle-ci a fait l’objet d’une consultation publique jusqu’au 22 octobre 2023. La version finalisée de la recommandation est attendue pour le début de l’année 2024.
La démarche de la CNIL s’inscrit dans un cadre plus global d’accroissement des exigences réglementaires européennes en matière de sécurité. Difficile en effet de ne pas avoir noté la récente adoption de plusieurs textes européens rien qu’en décembre 2022 :
- Règlement sur la résilience opérationnelle numérique du secteur financier (dit DORA),
- Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (dite NIS 2)
- ou encore de la Directive sur la résilience des entités critiques (dite CER).
L’UE travaille également sur une proposition de règlement relatif aux exigences de cybersécurité applicables aux produits comportant des éléments numériques, connue sous le nom de « loi sur la cyber-résilience » (dite CRA). Celle-ci vise à renforcer les exigences en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels.
La démarche de la CNIL, avec ce projet de recommandation, serait donc a priori de tenter de créer un pont entre ces textes et le RGPD.
Critique, vous avez dit critique ?
Le projet de recommandation de la CNIL vise les traitements « critiques ». Un traitement de données à caractère personnel est critique si :
- il constitue un traitement à grande échelle au sens du RGPD,
- et il s’agit d’un traitement pour lequel « une violation de données à caractère personnel pourrait soit entraîner des conséquences très importantes pour les personnes concernées, soit entraîner des conséquences pour la sûreté de l’État ou pour la société́ dans son ensemble ».
Ce projet de recommandation introduit donc un nouveau terme, la notion de « traitement critique ». Celle-ci n’est ni développée, ni même mentionnée dans le texte du RGPD, dans ses considérants, par le CEPD/EDPB ou par aucune autre autorité nationale de protection des données européenne à notre connaissance, Cela pourrait donc amener à des difficultés d’harmonisation au niveau européen..
Notons tout de même que celle-ci était apparue dans la récente recommandation de la CNIL sur la sécurisation des API, commentée ici.
Les préconisations de la CNIL
Les responsables de traitement qui mettent en œuvre de tels traitements peuvent tirer sept préconisations principales du projet de recommandation relative à la sécurité des traitements critiques de la CNIL :
- Implication de la gouvernance de l’entité dans la mise en place et le maintien des mesures de sécurité ;
- Maintien d’un niveau de maturité élevé de sécurité informatique : démarche Zero Trust préconisée par l’ANSSI et recommandation de la CNIL relative aux mesures de journalisation ;
- Respect de normes reconnues de sécurité, telles que la norme ISO / IEC 27 701, et homologation de sécurité ;
- Adoption de procédures et de mesures de gestion des incidents de sécurité : SOC, CSIRT, politique de réponse aux violations de données ;
- Conduite d’une double analyse de risque : AIPD et analyse de risque suivant la méthode EBIOS Risk Manager (EBIOS RM) de l’ANSSI ;
- Renforcement des contrôles et audits ;
- Encadrement de la relation avec les sous-traitants : exigences contractuelles détaillées en matière de sécurité informatique.
Et maintenant ?
Il reste maintenant à voir comment va évoluer ce projet de recommandation. Pour le moment assez fraîchement reçu par les professionnels, on lui reproche non pas la pertinence des mesures mises en avant, mais plutôt sur l’opportunité d’ajouter de nouvelles distinctions à un environnement réglementaire touffu. D’autant que cette notion est parfois similaire, parfois différente avec celles des textes européens et que la poussière n’est toujours pas retombée sur ceux-ci (transposition de NIS2, plusieurs RTS de DORA en cours d’élaboration, etc.).