La Commission nationale de l'informatique et des libertés (Cnil) a lancé une grande consultation publique sur un projet de recommandation concernant la sécurité des traitements critiques de données personnelles.
“Pour certains systèmes informatiques dits “traitements critiques”, une violation des données engendrerait des risques particulièrement élevés pour les personnes : en conséquence, ils nécessitent un niveau de sécurité adéquat”, explique la Cnil.
Lire aussi : 45 ans de la Cnil et 5 ans du RGPD : le bilan
La recommandation a pour objectif de regrouper un ensemble de bonnes pratiques en un seul document. Il se concentre principalement sur deux critères cumulatifs : le traitement à grande échelle au sens du RGPD et l'impact en cas de violation des données personnelles. En d’autres termes, les violations de données pouvant avoir des conséquences très importantes “soit pour les personnes concernées, soit pour la sûreté de l’État ou pour la société dans son ensemble”.
Une recommandation disponible dès 2024
Dans son projet, la Cnil donne pour exemple les bases de données clients qui agrègent une large part de la population française : secteurs de l’énergie, des transports, fournisseurs d’accès internet. Mais aussi les services de traitements de santé à grande échelle (recherche, mutuelle…), ou encore les services publics dématérialisés (services des impôts, assurance maladie…).
Lire aussi : IA génératives : un danger pour la protection des données personnelles
La consultation publique est ouverte à tout organisme public ou privé jusqu’au 8 octobre 2023. “Elle permettra de confirmer la définition d’un traitement critique et les mesures de sécurité associées. La recommandation pourra également être complétée de toute suggestion provenant de l’écosystème”, précise la Cnil. Le document devrait être disponible début 2024.
