Le 30 avril 2025, la Commission nationale de l'informatique et des libertés (ci-après la «CNIL») a publié de nouvelles consignes visant à renforcer la sécurité des grandes bases de données à caractère personnel. Cette initiative intervient dans un contexte marqué par une multiplication des violations de données en 2024, affectant des millions de personnes et mettant en lumière des failles de sécurité récurrentes.
Les fuites de données survenues en 2024 ont principalement touché des bases de données clients, prospects et usagers, tant dans le secteur public que privé. Les analyses menées par la CNIL ont mis en évidence des modes opératoires similaires (usurpation de comptes d'utilisateurs légitimes via des identifiants et mots de passe compromis, défaut de détection des intrusions avant leur exploitation malveillante, mauvaise implication de sous-traitants).
La CNIL qualifie «de grandes bases de données» les systèmes traitant les données de plusieurs millions de personnes. Ces traitements présentent des risques accrus, car une violation peut affecter une part significative de la population et exposer les individus à des menaces telles que l'usurpation d'identité. De plus, les données compromises peuvent fragiliser d'autres systèmes d'information par effet de rebond.
Conformément aux articles 5.1.f et 32 du Règlement général sur la protection des données (ci-après le «RGPD»), la CNIL recommande aux responsables de traitement de mettre en Suvre les mesures suivantes:
- la mise en place d'une authentification multifacteur: l'ajout d'un deuxième facteur d'authentification réduit bien sûr le risque d'accès non autorisé et l'utilisation d'une authentification reposant sur un facteur de possession, que recommande également l'ANSSI, doit être privilégiée,
- la mise en Suvre d'une politique plus large de gestion des identités et des accès que l'organisme doit mettre en Suvre et maintenir dans le temps, en fonction des profils d'utilisateurs,
- la journalisation, l'analyse et la mise en place de limites
sur les flux de données qui transitent sur le système
d'information notamment en mettant en Suvre:
- une architecture de journalisation permettant d'assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d'information,
- un système permettant de détecter une activité potentiellement suspecte aussitôt que possible, en surpervisant les traces sur les périmètres ou composants les plus sensibles,
- la formation régulière des acteurs et leurs sensibilisation aux enjeux, au regard de leurs différents rôles,
- l'encadrement du rôle du sous-traitant, et des mesures de sécurité mises en place par cet acteur.
La CNIL rappelle que l'absence de mesures de sécurité adéquates peut constituer un manquement à l'article 32 du RGPD, passible d'une amende administrative pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Les exigences posées par ce document viennent bien sûr s'ajouter à celles déjà existantes, en particulier pour le traitement de données sensibles, comme par exemple les entrepôts de données de santé.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
