La CNIL sensibilise les RSSI à la protection des données personnelles

Les administrateurs système n’ont pas vocation à pouvoir accéder librement à toutes les informations, notamment les données à caractère personnel, voire sensibles. Ainsi, il convient de limiter à tout prix le nombre d’informaticiens ayant le profil super-utilisateur ou administrateur système

A Chalons en Champagne, la CNIL (Commission Nationale Informatique & Libertés) vient de tenir sa septième étape du Tour de France qu’elle a entrepris pour porter à la connaissance des chefs d’entreprises et d’organismes hébergeant des données à caractère personnel les nouveautés introduites par la nouvelle loi Informatique & Libertés.

Dans son allocution, le Président de la CNIL, Alex Türk, a décrit les changements apportés à l’occasion de la transposition d’une directive européenne : L’accent est mis sur la pédagogie et le conseil en amont, la CNIL ne souhaitant pas être perçue comme un frein aux développements des entreprises. Par ailleurs, le régime de déclaration a été assoupli par la création de la fonction, facultative, de Correspondant Informatique & Libertés (ou CIL). Véritable interface avec la Commission, celui-ci a dans ses missions la tenue du registre des traitements. Parallèlement, les contrôles a posteriori seront renforcés. Désormais, la CNIL, après en avoir informé le Procureur de la République, peut charger ses agents de se rendre entre 6 heures et 21 heures partout où est mis en ?uvre un traitement de données à caractère personnel, afin de procéder à des vérifications ou d’obtenir des copies de tous documents ou supports d’information. En cas d’opposition du responsable des lieux, le Président du Tribunal de Grande Instance devra alors autoriser la visite de la CNIL, aux termes d’une ordonnance motivée. Pour le cas où le responsable des locaux s’opposerait à la mission des agents de la CNIL, refuserait de leur communiquer des renseignements ou des documents, ou encore leur délivrerait des informations erronées, il se rendrait coupable du délit d’entrave punissable d’un an d’emprisonnement et de 15.000 euros d’amende. Les articles 45 à 49 de la nouvelle loi prévoient les sanctions pouvant être prononcées par la CNIL. La Commission peut désormais infliger au responsable de traitement des amendes pouvant s’élever jusqu’à 300.000 euros. Elle a gagné également le pouvoir de faire cesser immédiatement le traitement des données litigieux. Ces contrôles sur place ? auxquels l’entreprise ne peut s’opposer ? sont passés d’une quarantaine en 2004 à une centaine pour 2005, générant dix avertissements et 36 mises en demeure. Il est vrai que dans le même temps, l’autorité de protection espagnole en réalisait plus de 600, au point qu’il est habituel, outre Pyrénées, de voir les sociétés prévoir dans leurs comptes des provisions ad hoc. La CNIL est donc aujourd’hui dotée de réels pouvoirs coercitifs. Une parfaite connaissance des exigences légales relatives aux traitements des informations s’impose avec d’autant plus d’acuité au responsable de traitement (qui est, le plus souvent, le représentant de l’entreprise, et non le responsable informatique ? sauf délégation de pouvoir). Un atelier intitulé « La sécurité informatique sous l’éclairage de la loi Informatique & Libertés » était animé par Jean-Luc Bernard, membre de la direction de l’expertise informatique et des contrôles, au sein de la CNIL. Plus d’une cinquantaine de RSSI et spécialistes de la sécurité informatique ont ainsi pu traduire en une approche pragmatique l’obligation de sécurité qu’impose l’article 34 de la loi modifiée : « Il appartient au responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Monsieur Bernard s’est donc attaché à expliquer les points sur lesquels il portait son attention lors de l’étude des dossiers (déclarations et demandes d’autorisation) adressés à la Commission : gestion des droits d’accès, chiffrement des sauvegardes, segmentation logique des réseaux, etc. Il a particulièrement insisté sur la gestion pour le moins « perfectible » des mots de passe, notamment administrateur. Ainsi, il convient de limiter à tout prix le nombre d’informaticiens ayant le profil « super-utilisateur » ou « administrateur système ». De même, il est recommandé de cloisonner les fonctions d’exploitation de celles de développement et de rechercher une plus grande ségrégation par des profils d’accès très affinés (par serveur, par base de données, etc). L’expert a insisté sur le fait que, dans ses décisions, la CNIL prenait naturellement en compte « l’état de l’art » en matière technologique et avait pleinement conscience des limitations qui s’imposent aux entreprises en termes de coût, de complexité et de performances. Ainsi en est-il du chiffrement des bases de données, dont l’application sur la totalité des champs peut s’avérer pénalisante. Dans ce cas, un traitement des seuls champs sensibles peut répondre aux exigences de sécurité. Jean-Luc Bernard a dévoilé quelques points sur lesquels les services d’expertises de la Commission portaient leur attention. Ainsi, à la question « Qui est chargé d’effectuer la maintenance hardware du serveur hébergeant les données à caractère personnel ? », l’expert veut simplement s’assurer qu’un prestataire ne peut partir tranquillement avec un disque dur ? en panne certes ? mais sur lequel il est relativement facile de récupérer les data? Outre les dispositifs mis en place, une grande attention est également portée à l’existence d’une politique de sécurité, voire d’audits réguliers ? deux éléments dont la CNIL peut fort bien demander communication. Enfin, concernant l’annexe 13 (document décrivant les dispositifs de sécurité, de protection et d’intégrité des données concernées), l’expert a rappelé qu’elle était obligatoire pour les demandes d’autorisation (par exemple dans les dossiers impliquant de la biométrie) mais facultative pour les déclarations, tout en ajoutant qu’elle était fort souhaitable, afin d’éviter les demandes de précisions de la part des services de l’institution. Reprenant les propos de Monsieur Alex Türk, le spécialiste a terminé en rappelant qu’il valait mieux « prévenir que guérir » et que les entreprises ne devaient pas hésiter à solliciter la CNIL en amont, pour éviter toute déconvenue. L’accès à la CNIL sera d’autant plus facile et plus rapide si l’entreprise dispose en interne d’un Correspondant Informatique & Libertés, car, comme l’a confirmé monsieur Alex Türk « Les entreprises disposant d’un Correspondant seront prioritaires ». Il est vrai que, comme l’a précisé Madame Nathalie Metallinos, chargée de mission à la CNIL et responsable de la cellule Correspondant au sein de la Commission, la moitié des 80 CIL connus de l’institution sont des spécialistes de l’informatique (dont une vingtaine de RSSI), à commencer par le premier d’entre eux, Monsieur Jacques Parent, RSSI du port autonome de Marseille. C’est donc une nouvelle corde à leur arc que peuvent désormais ajouter les professionnels de la sécurisation des données : en septembre, s’ouvrira d’ailleurs le premier Mastère spécialisé. Intitulé Gestion et Protection des données à caractère personnel, cette formation habilitée par la conférence des grandes écoles est dispensée par l’ISEP (Institut Supérieur d’Electronique de Paris) avec le concours de l’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel). La prochaine étape de la CNIL se tiendra en région Rhône-Alpes, courant juin.