La sécurité est le nœud gordien des données personnelles et dont l’article 32 du RGPD est le garant théorique. La CNIL qui a procédé au contrôle de 21 sites publics (communes, centres hospitaliers universitaires, ministères…) et privés (plateformes de e-commerce, prestataires de solutions informatiques…) a mis en demeure 15 d’entre eux pour des défauts de chiffrement des données ou de gestion et de sécurisation de comptes d’utilisateurs.
Sommaire
Les violations de données personnelles en 2021
En 2021, la CNIL a procédé à 5 037 notifications reçues (+ 79 % par rapport à 2020) dont
43 % concernent une attaque par rançongiciel.
Courriers d’alerte sans sanctions
Les clôtures, justifiées par la faible gravité des manquements constatés, prennent la forme d’un courrier alertant les responsables de traitement sur les mesures à mettre en œuvre afin de se conformer totalement au RGPD.
Les principaux manquements constatés par la CNIL
Les manquements relevés par la CNIL portent sur l’obligation générale du responsable de traitement de sécuriser les données personnelles traitées (article 32 du RGPD).
La CNIL s’est référée aux recommandations délivrées par l’ANSSI en matière de sécurité, en particulier, pour le secteur public, dans le référentiel général de sécurité (RGS). Celui-ci fixe les règles que les téléservices mis en place par des administrations doivent obligatoirement respecter pour assurer la sécurité des informations échangées.
La CNIL s’est également appuyée sur sa recommandation relative aux mots de passe de 2017, actuellement en cours de mise à jour et soumis à consultation publique. Les vérifications réalisées par la CNIL ont donc essentiellement porté sur des points techniques et organisationnels.
Concernant la robustesse du chiffrement des données, la CNIL a constaté que de nombreux acteurs permettaient un accès non sécurisé (HTTP) à leur site web, mettaient en place des versions obsolètes du protocole TLS devant assurer la sécurité des données en transit, utilisaient des certificats et des suites cryptographiques non conformes pour les échanges avec les serveurs des sites contrôlés.
Concernant la gestion des comptes utilisateurs, la CNIL a principalement constaté le défaut de dispositifs permettant de tracer les connexions anormales aux serveurs.
Concernant la sécurisation de l’accès aux comptes utilisateurs, la CNIL a notamment constaté le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation.
Les organismes mis en demeure disposent d’un délai de trois mois pour prendre toute mesure permettant d’assurer un niveau de sécurité adapté.