Menu
Vous êtes ici : Accueil > Actualités > Sécurité des données personnelles sur les sites internet : 2021, la CNIL contrôle !

Sécurité des données personnelles sur les sites internet : 2021, la CNIL contrôle !

Le 03 avril 2021
Sécurité des données personnelles sur les sites internet  : 2021, la CNIL contrôle !
Comment sécuriser son site internet et comment éviter les fuites de données sur vos sites web ? Votre avocat RGPD à Paris est en mesure de vous assister pour assurer une sécurité optimale de vos sites web et d'assurer votre conformité RGPD !

« Les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles », affirme la CNIL en annonçant ses trois thématiques prioritaires de contrôle pour 2021.

La sécurité des données personnelles et plus précisément la sécurité des données personnelles sur les sites internet est un des enjeux du RGPD et au cœur des thématiques de contrôle de la CNIL pour 2021.

La CNIL déclare dans un communiqué du 2 mars 2021 qu’elle s’intéressera à 3 thématiques en 2021 : aux cookies et autres traceurs, à la cybersécurité des sites web et à la sécurité des données de santé.

Votre avocat RGPD à Paris, vous a déjà éclairé sur les enjeux liés aux contrôles CNIL cookies et traceurs

Votre avocat RGPD à Paris, vous sensibilise sur les contrôles de La Commission nationale de l’informatique et des libertés (CNIL) sur la sécurité des données des sites web.

Quel contrôle de la CNIL pour 2021 sur les sites internet et la cybersécurité ?

Les contrôles de la CNIL porteront sur la sécurité des données sur les sites internet et particulièrement sur :

  • les formulaires de recueils de données personnelles
  • l’utilisation du protocole HTTPS
  • la conformité des entreprises sur la recommandation de la CNIL sur les mots de passe
  • stratégie des entreprises contre les rançongiciels.

Un deuxième axe de contrôle de la sécurité des données s’oriente vers la sécurité des données de santé, sujet primordial au regard de la nature de ces données qui sont des données sensibles et de leur prolifération en raison du développement de la e-santé et de l’augmentation du partage des données de santé dans un contexte de crise sanitaire et de lutte contre la Covid-19. Votre avocat e-santé à Paris vous donnera quelques pistes de réfléxion dans un nouvel article à ce sujet. 

La cybersécurité est au centre de l’actualité, les notifications de violation des données en raison de défauts de sécurité présentant d’après les données CNIL une augmentation de 24% en 2020 par rapport à 2019, soit 2 825 notifications reçues en 2020.  

1. Formulaires de recueil de données personnelles

Les formulaires de recueil de données personnelles doivent respecter le principe de limitation des finalités et de minimisation des données.

Les formulaires de recueil de données personnelles doivent également respecter les obligations d'information et de transparence envers les personnes concernées.

Vous avez deux possibilités :

  • vous pouvez souhaiter faire apparaître toutes les mentions minimales d’information sur le support de collecte
  • ou vous pouvez souhaiter faire apparaître toutes les mentions minimales d’information sur deux supports différents

Votre avocat RGPD à Paris saura vous aider dans la rédaction des bonnes mentions d'informations RGPD pour vos sites internet.

2. Utilisation du protocole HTTPS

La CNIL recommande entre autres de mettre en œuvre le protocole TLS (qui remplace le SSL) dans sa version récente (1.2 ou 1.3) sur tous les sites web et en rendant ce protocole obligatoire.

L’ANSSI a publié des recommandations pour l’utilisation du protocole TLS.

3. Conformité aux recommandations CNIL sur les mots de passe

Les recommandations de la CNIL sur les mots de passe est axée principalement sur la création du mot de passe, son authentification, sa conservation et son renouvellement.

Votre avocat RGPD à Paris vous précise que la CNIL ne recommande pas l’utilisation d’un même mot de passe pour accéder à différents services. Elle recommande un minimum de complexité du mot de passe qui n’est pas en rapport avec la personne (comme sa date de naissance, le nom de son entreprise, le prénom de ses enfants…)

Création du mot de passe (recommandations CNIL RGPD)

  • La longueur et la complexité du mot de passe varient en fonction d’autres mesures de sécurité mises en œuvre pour l’authentification de ce mot de passe.
  • Les autres mesures pour la sécurité des données peuvent être la double authentification, la temporisation d’accès au compte, le blocage de tentatives d’accès multiples ou autres.
  • Le mot de passe ne doit pas être communiqué par courrier électronique.

L’authentification du mot de passe.

  • Utiliser un algorithme public réputé fort, ne comportant pas des vulnérabilités connues.

La conservation des mots de passe.

  • Ne doit jamais être stocké en clair.

Le renouvellement du mot de passe.

  • Périodique : selon une période raisonnable et peu importe la complexité du mot de passe
  • Sur demande : il faut mettre en œuvre une procédure de renouvellement de mot de passe sécurisée sur demande de l’utilisateur ou du salarié. 

Stratégie contre rançongiciels

Le rançongiciel est une technique courante de la cybercriminalité. Comme son nom l’indique, elle consiste à envoyer à la victime un logiciel qui chiffre l’ensemble de ses données en lui demandant rançon en échange du mot de passe de déchiffrement pour regagner contrôle de ses données.

Les conseils de l’ANSSI pour éviter les rançongiciels et pour bien réagir suite à une attaque consistent notamment à sauvegarder les données, maintenir à jour les logiciels et systèmes, maîtriser les accès Internet, utiliser et maintenir les logiciels antivirus, prévoir un plan d’action préalable…

Ce guide de sensibilisation de l’ANSSI en partenariat avec le ministère de la Justice sert de guide au contrôle de la CNIL quant à la stratégie mise en place par le responsable de traitement contre les rançongiciels, pour contrôler si les mesures prises sont suffisantes.

Conseils pratiques

Votre avocat RGPD et données personnelles à Paris vous donne quelques conseils pratiques :

Sensibiliser les salariés sur la Loi informatique et liberté, sur la sécurité des données et risques RGPD

Prévoir des séances de sensibilisations régulières auprès des salariés

Prévoir une politique en cas de violation des données (perte, divulgation etc.)

Prévoir une politique de violation des données adaptée à votre entreprise, à vos besoins et à vos moyens. Votre avocat données personnelles à Paris peut vous aider !

Sécurité du lieu de travail, d’accès aux locaux

La sécurité du lieux de travail et d'accès aux locaux est primordial pour le respect de votre conformité RGPD

Suivre les bonnes pratiques de l’ANSSI et de la CNIL