Le viseur 2021 de la CNIL est enfin orienté. Mais que faire pour l’éviter ?

Le 2 mars dernier, la CNIL a dévoilé au grand jour les thématiques sur lesquelles elle se montrerait attentive durant cette année :

On observe trois points prioritaires pour cette année :

  • La cybersécurité des sites web ;
  • L’utilisation des cookies ;
  • La sécurité des données de santé ;

Il n’en demeure pas moins que les contrôles faisant suite à des plaintes ou en lien avec la crise sanitaire sont possibles même s’ils ne concernent pas l’une des thématiques visées ci-dessus.

 

La grande question étant de savoir : quels sont les gestes à adopter afin de minimiser les risques de contrôle sur ces trois sujets ?

La cybersécurité des sites web

« Montre-moi ton site et je te dirai qui tu es ». Le site internet de votre entité est votre vitrine. Il est donc important de soigner sa présentation. La CNIL rappelle que les défauts de sécurité régulièrement constatés sur les sites internet sont parmi ceux qui conduisent le plus à des violations de données au sein des sites. Par conséquent, soyez attentifs aux points suivants :

  • La sécurité des données contenues au sein des formulaires contact de votre site:
    • Améliorer le stockage et la conservation des données dans le back office. En effet, les données sont trop souvent conservées de manière indéfinie ce qui maximise le butin du pirate en cas d’attaque.
    • Minimiser la collecte des données. Retravailler vos champs de saisie en vous limitant aux informations strictement nécessaires.
    • Limiter au maximum les zones de texte libre.
    • Ajouter des mentions d’informations à vos formulaires.
      • A ce sujet, afin d’alléger les mentions, il est recommandé de centraliser l’information à délivrer dans une Charte dédiée sur le site internet. Les mentions des formulaires pourront effectuer un renvoi vers celle-ci.
    • L’utilisation du protocole HTTPS :
      • C’est un protocole qui garantit une bonne sécurité aux visiteurs de votre site
      • Si vous n’êtes qu’en HTTP, il faudra vous doter d’un certificat SSL.
    • L’indexation des données dans un moteur de recherche

Parfois, des fichiers privés de votre site internet (des factures clients par exemple) sont indexés par les moteurs de recherche. Il vous faudra donc empêcher les webcrawlers d’accéder aux parties sensibles de votre site internet. Pour cela, vous devez notamment vous doter d’un dispositif d’authentification et de gestion de droits. Aucun document ni information concernant un utilisateur ne doit être accessible librement par un autre.

  • Le chiffrement des fichiers permet également de contribuer à leur confidentialité.
  • La mise à jour de votre site internet :
    • Les hackers peuvent s’attaquer d’autant plus facilement à votre site internet si vous n’effectuez pas régulièrement des mises à jour de sécurité et de maintenance ;
    • Les pirates sont friands des sites conçus avec des Content Management System (CMS) type WordPress, Joomla, Drupal, car nombre d’entre eux connaissent régulièrement des failles que les propriétaires mettent des mois à corriger.

L’utilisation des cookies

Pour rappel, chaque internaute doit être informé de la mise en place de cookies (retrouvez notre article à ce sujet ici) lorsqu’il navigue sur un site internet. Cette information se fait le plus souvent par le biais d’un bandeau d’information.

En plus de cette obligation d’information certains type de cookies et traceurs nécessitent le consentement préalable des personnes pour être déposés sur leur terminal. Cela concerne essentiellement les cookies utilisés à des fin de publicités ciblées, les cookies des réseaux sociaux et les cookies “médias” type YouTube ou Viméo.

 

Afin de gérer l’ensemble de ces obligations nous vous recommandons de mettre en place les actions suivantes :

Bandeau cookies RGPD conforme aux thématiques CNIL

  • Collecter le consentement des utilisateurs par un acte positif clair.
    • L’acceptation considérée acquise par défaut n’est pas légale. Le dépôt de cookies évoqués plus tôt ne pourra avoir lieu que si la personne a donné son consentement et pas avant. Les consentements recueillis par défaut du type « en poursuivant la navigation, vous acceptez les cookies » ne sont pas conformes.
    • L’internaute doit pouvoir sélectionner les finalités qu’il autorise ou non, ou au minimum pouvoir tout refuser en bloc très facilement
  • Laisser la possibilité à l’utilisateur de retirer son choix facilement à tout moment, par exemple en laissant une icône de cookie en bas à droite de l’écran pour rouvrir le panneau de consentement.

Astuce pour vos statistiques de visites : si vous utilisez Google Analytics (que vous ayez activé les options d’anonymisation ou non), le consentement doit être recueilli obligatoirement du fait de la loi. Ce n’est pas dû au simple fait de collecter des statistiques de visite, mais au fait que Google réutilise les données collectées à d’autres fins (qui vont bien au-delà de « combien d’utilisateurs ont consulté la page »), pour son propre compte.  Or en passant au consentement, vous risquez de perdre une part importante de ces statistiques. Pour contourner ce problème vous pouvez :

  • Evidemment changer d’outil, à envisager particulièrement lorsque vous n’utilisez Google Analytics que pour des « statistiques basiques ». La CNIL publiera prochainement sur son site une liste d’outils « RGPD friendly »;
  • Coupler Google Analytics avec l’utilisation d’un autre outil dédié à la réalisation de statistiques sans nécessité de recueillir le consentement du visiteur (cf. liste évoquée ci-dessus), Ainsi pour les utilisateurs n’ayant pas donné leur consentement, vous aurez au moins quelques statistiques en provenance du second outil.

La sécurité des données de santé

Toutes les obligations et principe du RGPD s’appliquent à savoir conservation limitée des données, information des personnes, minimisation des données, etc.

Chaque principe à son importance mais un attention toute particulière doit être apportée à la sécurité des données de santé. Cela passe notamment par la mise en place des actions suivantes :

  • Gestions des droits d’accès aux données en particulier sur les logiciels métiers de gestion des dossiers médicaux. Il faut affiner les droits d’accès en fonction des profils d’utilisateurs. Il est courant d’observer de mauvaises pratiques au quotidien. En effet, dans le domaine de la santé, l’urgence est souvent de mise, c’est pourquoi nous constatons que des médecins peuvent laisser libre accès à leur session sans se soucier des effets de bords que cela peut entrainer. Pour limiter ce genre de pratiques :
    • La sensibilisation du corps médical est la première chose à envisager ;
    • Le recours à des outils techniques pour pallier ces mauvaises pratiques également.
  • Utiliser des outils de transfert de données sécurisés. On bannit l’envoi de données de santé par simple mail à moins de disposer d’une messagerie MS santé.
    • Pensez à sensibiliser vos équipes sur l’importance d’utiliser de façon efficiente leur messagerie car la sécurité au sens technique du terme n’empêchera jamais un utilisateur d’écrire à Jean Dupont au lieu de Jean Durand
    • Préférez, si vous le pouvez, recourir à une plateforme spécialisée dans l’échange sécurisé de données et compatible HDS. Nous ne le dirons jamais assez, une messagerie n’est pas faite à l’origine pour échanger et stocker des fichiers.
  • Recourir à des hébergeurs certifiés HDS
  • Encadrer ses sous-traitants par le biais d’accord de confidentialité ou accord de sous-traitance le cas échéant.