RGPD & Données personnelles

CNIL & Protection des données : les erreurs courantes en matière de RGPD

16.01.2020 – Protection des données personnelles les erreurs courantes
RGPD - Protection des données personnelles - Erreurs courantes - CNIL & cybersécurité

De nombreuses sociétés sont aujourd’hui sanctionnées ou exposées à des sanctions au regard des conditions dans lesquelles les données personnelles sont conservées.

Les nouvelles règles en matière de protection des données imposent une responsabilisation des collecteurs et exploitants de données personnelles dont de mauvaises procédures de sécurité peuvent conduire à une divulgation ou perte de documents comprenant des données personnelles.

Quand bien mème les professionnels n’auraient pas les compétences techniques pour apprécier la fiabilité de leurs solutions, il leur incombe malgré tout le devoir de s’en ètre assuré.

Les mots de passe trop faibles et les systèmes sans double vérification

Rappelé fréquemment par les professionnels, les mots de passe trop faible, largement tolérés par les plateformes en ligne sans complément d’identification – par confirmation via mail, téléphone ou autre facilitent les capacités d’un hacker de pénétrer un système en testant de nombreux mots de passe usuels.

L’interview d’Edward Snowden par John Oliver dans l’émission Last Week Tonight illustrait la facilité déconcertante aujourd’hui avec laquelle des personnes peuvent pirater et hacker des serveurs dont les mots de passes de sécurité sont trop courts ou faibles, encourageant sur ce point à utiliser non plus des mots mais des « phrases de passe ».

Retrouvez ici l’ensemble de l’interview.

La faiblesse des URL en matière d’accès à des comptes clients

De très nombreuses sociétés ont ainsi été sanctionnée sur la base de la capacité, en changeant un élément d’URL, d’accéder à l’ensemble de la base de données du service. Une telle défaillance est analysée par la CNIL comme un manquement à l’article 32 du RGPD en ce qui concerne l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel.

Retrouvez ci-dessous nos analyses des sanctions associées :

Active Assurance en 2019

Alliance française en 2018

Darty début 2018

L’absence de chiffrement des données

Le chiffrement – cryptage – correspond à la conversion des données d’un format lisible à un format codé qui peut uniquement ètre lu ou traité après déchiffrement. En cas de perte ou de faille au sein d’un système informatique, un tel mécanisme permet de garantir la confidentialité des informations interceptées. Cela constitue à ce titre un moyen efficace de garantir également leur authenticité et origine.

Plusieurs méthodes ont été développées ces dernières décennies – cryptographie asymétrique, clé de chiffrement symétrique, etc. afin de perfectionner la confidentialité et la protection des systèmes informatiques, notamment les connexions https, les vpn, accès SSH, etc.

Fréquemment rappelées par la CNIL lors de ses contrôles, de nombreuses failles et négligences facilement évitables, sont souvent à l’origine des manquements aux règles en matière de protection des données.

Écrit par :

Publié le : 16/01/2020
Mis à jour le : 06/01/2024

PX Chomiac de Sas