Vie des affaires

RGPD

Vers un renforcement du contrôle de la sécurité des données personnelles des grandes bases ?

Les violations de données personnelles ont augmenté en fréquence et en échelle sur l’année 2024, touchant parfois des millions de personnes simultanément. Face à ce constat, la Commission nationale de l’informatique et des libertés (CNIL) prévoit de renforcer le contrôle des entreprises traitant de grandes bases de données.

Des obligations renforcées en cas de traitement de grandes bases de données personnelles

La CNIL souligne que les attaques informatiques visant les données personnelles relèvent souvent de procédés similaires. Dans les faits, on retrouve fréquemment une usurpation des identifiants et mots de passe, des intrusions non détectées par les entreprises ou entités victimes ou encore des infractions s’attaquant aux sous-traitants qui ne déploient pas de mesures de sécurité suffisantes.

La CNIL rappelle que des mesures générales de sécurité doivent être mises en place pour parer à toute éventualité d’attaque. Ainsi, les responsables de traitement mais aussi les sous-traitants se doivent de garantir un niveau de sécurité approprié (article 5.1.f. du Règlement Général sur la protection des données personnelles – RGPD).

En outre, lorsqu’il s’agit de grandes bases de données (c'est-à-dire, de bases de données de plusieurs millions de clients et de logiciels de gestion des relations clients mis en œuvre par les entreprises s’adressant au grand public), la CNIL rappelle que les mesures de protection de base doivent être renforcées. Cela passe par des éléments techniques mais aussi par l’humain.

L’humain, acteur de la sécurité informatique en entreprise

Outre ses recommandations générales (sécurisation des accès externes au système d’information via une authentification multifacteur, journalisation et analyse des flux de données) (voir notre commentaire, https://revuefiduciaire.grouperf.com/actu/54934.html), la CNIL rappelle que les moyens humains sont le socle de ces préventions.

Elle souligne ainsi que les obligations pesant sur le responsable du traitement, mais également sur les sous-traitants au titre du RGPD, imposent non seulement des mesures techniques mais également organisationnelles. Dès lors, elle préconise de recourir à des programmes de formations et de sensibilisation des utilisateurs, en interne notamment, en s'appuyant sur les sources existantes (notamment, ses recommandations ainsi que les guides et recommandations de l’ANSSI).

En outre, concernant les sous-traitants, et au-delà du respect des règles du RGPD imposant la conclusion d’un contrat circonscrivant le périmètre de la sous-traitance, la CNIL conseille de recourir à des audits et des inspections périodiques afin de s’assurer que le sous-traitant met tout en œuvre pour respecter la protection des données. Ce renfort humain est également préconisé pour la gestion des identités et de l’étendue des accès accordés aux utilisateurs internes et externes ou encore la mise en place de système d’alerte permettant des réactions rapides face à des flux anormaux ou des tentatives d’intrusion.

Un plan d’action triennal pour renforcer la sécurité des données personnelles

La CNIL prévoit un renforcement de sa politique de contrôle qui s'inscrit dans son plan d’action triennal 2025-2028 visant à sensibiliser en matière de cybersécurité afin de renforcer la sécurité des données personnelles via :

- l’accompagnement et les recommandations pour sécuriser les données personnelles ;

- le contrôle des entreprises dans leur mise en place de mesures renforcées en présence de grandes bases de données ;

- l’information et la sensibilisation de tous les publics en matière de cybersécurité.

Ainsi, dès l’an prochain, la CNIL devrait notamment renforcer son contrôle du respect de la politique d’identification multifacteur pour les grandes bases de données.

Communiqué de la CNIL du 30 avril 2025 : "La CNIL donne ses consignes pour renforcer la sécurité des grandes bases de données".

Date: 13/01/2026

Url: