Cybersécurité : la CNIL agit pour le développement de solutions respectueuses du RGPD
Dans le cadre de sa démarche d’accompagnement sectoriel, la CNIL engage un travail de fond sur les solutions de cybersécurité avancées. L’objectif est double : favoriser la conception de produits et services protecteurs des données, mais également aider les utilisateurs à choisir des solutions conformes au RGPD.
Trouver le bon équilibre entre cybersécurité et protection des droits et libertés des personnes
La numérisation croissante de l’activité va de pair avec la pression d’une menace cyber qui se professionnalise. Les solutions de cybersécurité ont évolué vers des technologies mêlant intelligence artificielle, mutualisation et utilisation d’informations diverses, prises de décision automatisée, ou encore analyse du comportement des utilisateurs pour les outils les plus avancés. Ces solutions permettent de répondre à l’obligation de sécurisation des systèmes d’information pour les organismes.
Certaines d’entre elles reposent, cependant, sur la collecte et l’utilisation de données personnelles, parfois à large échelle. Elles peuvent aboutir à des décisions automatisées ayant un impact sur les personnes dans leur rôle de citoyen, d’employé, ou de patient (par exemple, une personne dont l’adresse IP se trouve, à tort, présente dans une plage temporairement bloquée pendant une attaque présumée et dont l’accès lui est nécessaire). Il est nécessaire de trouver le bon équilibre afin de sécuriser les traitements tout en étant protecteur des droits et libertés des personnes.
Un double enjeu pour la CNIL
La CNIL s’appuie sur son dispositif d’accompagnement sectoriel pour initier un travail de fond visant à :
- favoriser des technologies protectrices de la vie privée en clarifiant, auprès des concepteurs et offreurs de solutions, les méthodes ou techniques considérées par la CNIL comme vertueuses en termes de protection des données ;
- accompagner la conformité des utilisateurs de solutions en produisant des recommandations leur permettant de mieux appliquer la règlementation vis-à-vis des spécificités du domaine de la cybersécurité.
Lancement prochain d’une consultation sectorielle
Afin de définir les produits, solutions et services de cybersécurité à étudier prioritairement, la CNIL va prochainement lancer une consultation sectorielle auprès des membres de l’écosystème, tels que les offreurs et utilisateurs de solutions, les associations représentatives et les acteurs institutionnels.