42
RAPPoRT D’ACTIVITÉ 2012
Informer et éduquer / Conseiller et réglementer / accompagner la conformité / Protéger les citoyens /
PoUr MieUX Gérer
les risQUes sUr la vie
Privée : SUIVEZ LE gUIDE
La CNIL a publié en juillet 2012 une méthode et un catalogue de mesures pour aider les
organismes à gérer les risques sur la vie privée. Ces outils opérationnels doivent faciliter
l’intégration de la protection de la vie privée, notamment dans les traitements complexes
ou à risques grâce à une approche pragmatique, rationnelle et systématique.
Préserver la sécurité des
données : une obligation légale
La loi « Informatique et Libertés »
prévoit, dans son article 34, que les responsables de traitement doivent « prendre
toutes précautions utiles, au regard de la
nature des données et des risques présentés par le traitement, pour préserver
la sécurité des données ».
En d’autres termes, chaque responsable doit identifier les risques engendrés
par son traitement avant de déterminer
les moyens adéquats pour les réduire.
Pour ce faire, il convient d’adopter une
vision globale et d’étudier les conséquences sur les personnes concernées.
deux guides Pour déterMiner
la sécurité adéquate
Après le guide sécurité destiné aux
PME qui a été publié en 2010, les deux
nouveaux guides de la CNIL ont pour
objectif d’aider à la mise en place d’une
démarche d’analyse complète pour les
traitements complexes. Ils s’adressent
ainsi aux responsables de traitements,
maîtrises d’ouvrage, maîtrises d’œuvre,
correspondants «Informatique et Libertés »
et responsables de la sécurité des systèmes d’information. Ils les aident à avoir
une vision objective des risques engendrés par leurs traitements, de manière à
choisir les mesures de sécurité, organisationnelles et techniques, nécessaires et
suffisantes.
Le but est en effet de disposer d’une
cartographie des risques, estimés en
termes de gravité et de vraisemblance, afin
de décider de les accepter ou de les traiter
à l’aide de mesures qui les éviteraient, les
réduiraient, ou les transféreraient, jusqu’à
ce qu’ils soient acceptables.
ces guides se composent :
d’une méthode de gestion des risques
sur les libertés et la vie privée, expliquant
comment utiliser la méthode EBIOS dans
le contexte spécifique de la protection des
données à caractère personnel ;
d’un catalogue de bonnes pratiques,
permettant au responsable de choisir des
mesures pour traiter les risques identifiés
avec la méthode, de manière proportionnée à ces risques, et adaptée en fonction
du contexte du traitement.
des études de cas ont été publiées par
le club ebios :
une sur la gestion des patients d’un
cabinet de médecine du travail ;
une autre sur la géolocalisation de véhicules d’entreprise.
Pour répondre au besoin des sociétés
internationales et des organismes étrangers, la CNIL propose également une
version anglaise de ces deux guides.
Ces guides ont déjà été téléchargés
8 000 fois sur www.cnil.fr