Le pouvoir de la CNIL d’édicter des règlements de sécurité

Le pouvoir réglementaire de la CNIL

1. – Il faut ajouter aux obligations imposées par l’article 34, que la loi autorise également la CNIL à édicter des règlements types de sécurité. En fait, l’article 11 précise que la CNIL : « établit et publie (…) des règlements types en vue d’assurer la sécurité des systèmes » et « propose au Gouvernement les mesures législatives ou réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques ».

2. – La prérogative a été exercée pour l’instant à une seule reprise dans une délibération adoptée du 21 juillet 1981 (n°81-094). La CNIL recommandait aux responsables de traitements de prendre en compte :

• Une évaluation des risques systématique, et récurrente ;
• la mise en œuvre des sensibilisations ;
• la formalisation des mesures de sécurité dans un document ;
• la définition des responsabilités respectives des personnels ;
• la précision des garanties de sécurité.

3. – En voici le détail :

Délibération n° 81-094 du 21 juillet 1981 portant adoption d’une recommandation relative aux mesures générales de sécurité des systèmes informatiques

La Commission nationale de l’informatique et des libertés ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et notamment les articles 3, 21 (3°), 29, 36 (3°) et 43 (2°) ;

Considérant :

Que les règlements types prévus par la loi pourront être établis en concertation avec les représentants qualifiés des secteurs d’activité concernés en raison, d’une part, des différences des systèmes de traitement, tant par leur diversité de nature que leur variété de puissance et d’organisation, et d’autre part, des progrès techniques permanents en matière d’informatique et de télécommunication ;

Qu’il appartient néanmoins aux détenteurs ou utilisateurs de fichiers nominatifs de prendre, sous leur responsabilité, préalablement à toute mise en oeuvre d’une application informatique, compte tenu de la finalité du traitement, du volume des informations traitées et de leur degré de sensibilité au regard des risques d’atteinte à la personne humaine, les mesures générales de sécurité nécessaires, quelle que soit la puissance du système intéressé, afin de répondre aux préoccupations essentielles en la matière, mesures concernant notamment :

– le contrôle de la fiabilité des matériels et des logiciels qui doivent faire l’objet d’une étude attentive afin que des erreurs, lacunes et cas particuliers ne puissent conduire à des résultats préjudiciables aux personnes,

– la capacité de résistance aux atteintes accidentelles ou volontaires extérieures ou intérieures en étudiant particulièrement l’implantation géographique, les conditions d’environnement, les aménagements des locaux et de leurs annexes. Au sens de la présente délibération doivent être considérées comme :

– atteintes accidentelles celles qui résultent des désastres naturels tels que incendie, inondation, tremblement de terre, etc., ou qui proviennent des sources assurant le fonctionnement des systèmes informatiques telles que le conditionnement d’air, l’alimentation électrique,

– atteintes volontaires celles qui visent à la destruction totale ou partielle des installations, celles qui ont pour objet le vol ou l’altération des logiciels, le détournement, l’altération ou la destruction d’informations.

 

Recommande :

– que l’évaluation des risques et l’étude générale de la sécurité soient entreprises systématiquement pour tout nouveau traitement informatique, et réexaminées pour les traitements existants ;

– qu’un effort d’information et de sensibilisation auprès des catégories professionnelles concernées les motive dans le sens d’une participation accrue à l’application des mesures de sécurité retenues ;

– qu’un soin tout particulier soit apporté à définir les dispositions destinées à assurer la sécurité et la confidentialité des traitements et des informations, à les consigner dans un document de référence, à les tenir à jour et à veiller de manière permanente à leur respect ;

– que les responsabilités des personnels participant au respect des mesures de sécurité soient clairement définies ;

– que des actions concertées entre les pouvoirs publics, les groupements professionnels d’utilisateurs, les constructeurs, les ingénieries et les fournisseurs de matériels et de logiciels concourent à préciser les sécurités offertes, à les garantir contractuellement, et à oeuvrer dans le sens d’une amélioration générale de la sécurité, qui doit être prise en considération dès la conception des produits matériels ou logiciels.

Le Président : Jacques Thyraud

 

A noter également la publication du Guide sur la sécurité des données personnelles.

Lire la suite : Les obligations en matière de sous-traitance.

Le plan de l'article :
- La sécurité des données personnelles (introduction)
- Le détail des obligations de sécurité
- La jurisprudence et l'obligation de sécurité des données personnelles
- Le pouvoir de la CNIL d'édicter des règlements de sécurité
- Les obligations de sécurité des données personnelles et la sous-traitance