La CNIL consulte sur la cybersécurité des traitements critiques

Parmi les obligations légales et réglementaires des responsables de traitements de données nominatives, la cybersécurité de ces données est en bonne place. La Commission Nationale Informatique et Liberté (CNIL) a déjà prononcé, comme ses homologues européens, de nombreuses sanctions du fait d’une sécurisation insuffisante. Mais un cas attire aujourd’hui l’attention de la CNIL : celui des systèmes de traitements de données personnelles à risque majeur en cas de violation. Ce risque est jugé majeur soit du fait du nombre de personnes potentiellement impactées soit de la sensibilité des données traitées. La CNIL entend émettre une recommandation sur la cybersécurité de ces systèmes critiques. Mais, auparavant, elle souhaite consulter les professionnels concernés.

La CNIL attend avant tout des contributions des RSSI des organismes disposant de tels traitements. Les avis sur le projet de recommandation sont attendus avant le 8 octobre 2023. L’autorité administrative indépendante précise : « cette consultation permettra de confirmer la définition d’un traitement critique et les mesures de sécurité associées. La recommandation pourra également être complétée de toute suggestion provenant de l’écosystème. » La recommandation finale sera une « référence de bonnes pratiques pour garantir la sécurité des traitements de données personnelles ». La publication de la version finale de la recommandation est attendue pour le début de l’année 2024.

En savoir plus

- Sécurité des systèmes à risque majeur en cas de violation : la CNIL lance une consultation publique sur un projet de recommandation, communiqué du 28 août 2023. 

- Télécharger le « Projet de recommandation relative à la sécurité des traitements critiques » (PDF).