Mise à jour du Guide CNIL de la Sécurité des données personnelles – Ce que vous devez savoir 2/2 : 5 nouvelles fiches sur le Cloud, les app mobiles, l’IA, et les API
Lerins vous propose une synthèse des do’s et don’ts :
1. CLOUD – Fiche 22
À Faire :
- Cartographier les Données et services : Cette cartographie doit préciser les données et les traitements effectués dans le cloud, en complément d’un inventaire des services cloud utilisés, pour une gestion optimale.
À Éviter :
- Migrer de façon non sélective des Données : Transférer massivement des données vers le cloud sans effectuer un tri préalable, pour prévenir les risques de sécurité.
- Se déresponsabiliser : Ignorer sa propre part de responsabilité en matière de sécurité des données, en supposant que le fournisseur cloud est seul responsable.
- Faire des Sauvegardes inadéquates : Réaliser des sauvegardes dans le même datacenter où sont stockées les données originales.
- Permettre un accès libre aux fournisseurs cloud à vos données.
2. APPLICATIONS MOBILES – Fiche 23
À Faire :
- Sécurisation des Données : Utiliser les API dédiées pour encapsuler les secrets cryptographiques directement dans le matériel du téléphone, comme le Hardware Keystore pour Android ou le Secure Enclave pour Apple
À Éviter :
- Manquer de Clarté à la Conception : Ne pas définir et formaliser précisément les objectifs de sécurité et les mesures techniques à adopter lors de la contractualisation avec un développeur.
- Manquer de Contrôle sur le Code Externe : Laisser les sous-traitants ajouter du code tiers sans vérifier au préalable qu’ils respectent les normes de sécurité les plus strictes.
3. INTELLIGENCE ARTIFICIELLE – Fiche 24
À Faire :
- Compiler les Ressources Documentaires : Élaborer un dossier complet destiné aux développeurs et utilisateurs, détaillant la conception, le fonctionnement et l’équipement nécessaire pour exploiter les IA.
- Processer le Développement et l’Intégration : Instaurer une démarche obligatoire pour le développement et l’incorporation de contenu dans les IA, garantissant ainsi la qualité et la pertinence des informations traitées.
- Auditer l’IA : Planifier et exécuter régulièrement des audits couvrant les aspects logiciels, matériels et organisationnels, y compris la surveillance humaine des processus d’IA, pour maintenir l’intégrité et la sécurité du système.
À Éviter :
- Entrainer des Modèles sur des Données Peu Fiables ou non vérifiée pour l’entrainement des modèles d’IA
- Ne pas Vérifier des Données de Sortie afin de s’assurer de l’absence de données personnelles ou d’erreurs.
- Utiliser une IA sans Comprendre ses Limites : Exploiter les IA sans une connaissance approfondie de leurs capacités, limites, ou sans évaluer les implications potentielles d’erreurs ou de biais.
4. API – Fiche 25
À Faire:
- Définir des Rôles : Clarifier les rôles et responsabilités de chaque acteur impliqué dans l’utilisation des API pour bien délimiter les droits d’accès aux API et données.
- Surveiller des échanges : Mettre en place un système de suivi des échanges effectués via vos API. Utiliser des outils de traçage pour identifier et agir rapidement en cas d’utilisation inappropriée, en vous référant aux procédures de gestion des incidents et violations.
- Documenter de façon Complète : Tenir à jour une documentation détaillée, comprenant le format des requêtes et la structure des données échangées
À Éviter:
- Garder des Versions Obsolètes : Elles pourraient contenir des vulnérabilités non corrigées, exposant ainsi vos systèmes à des risques de sécurité.
- Négliger la Sécurité des Accès aux API
En adoptant ces pratiques et en évitant ces pièges, vous optimiserez la sécurité de vos données donc la continuité de vos activités et limiterez les risques de sanctions en cas de faille .
Besoin de plus de conseils? Contactez Mathilde Croze, notre associée IT.
