CNIL – Société X – MED-2024-112

Décision

🏷️ Nom:

Société X

🔢 Numéro:

MED-2024-112

📅 Date:

6 août 2024

⚖️ Autorité:

CNIL ou équivalent

🌍 Pays:

France

🔗 Lien:

Décision non publiée

Contexte

Information non disponible.
Source: CNIL, Tables Informatique et Libertés v1.10

Apport(s)
Accès à des données personnelles non publiques - Utilisation de compte partagés - 1) Cas général - Manquement en principe - 2) Cas des administrateurs - Manquement grave en principe Extrait(s) pertinent(s)1) Au titre des mesures élémentaires de sécurité, il est en principe nécessaire que l’accès à un système d’information contenant des données à caractère personnel qui n’ont pas vocation à être publiées se fasse à travers un compte individuel, auquel l’utilisateur se connecte par un identifiant et un facteur d’authentification propres. En effet, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système. Les comptes partagés rendent beaucoup plus difficile l’imputabilité d’une action et compliquent le travail d’investigation en cas d’incident de sécurité ou de violation de données. Par ailleurs, s’agissant des mots de passe, conformément aux règles élémentaires relatives à la sécurité des systèmes d’information, un mot de passe doit, pour être efficace, demeurer secret et individuel. Or, lorsqu’un compte est partagé entre plusieurs personnes, cette règle n’est plus respectée. 2) Cette exigence d’individualisation des comptes présente une acuité particulière s’agissant des administrateurs, qui disposent de droits plus étendus sur les données à caractère personnel traitées par le système, ce qui en fait des cibles d’attaque informatique et rend nécessaire de pouvoir détecter rapidement et efficacement une violation de données réalisées par l’un d’entre eux. À défaut, et en particulier lorsque des systèmes ou des équipements ne permettent pas de disposer de plusieurs comptes d’administration, des mesures complémentaires doivent être mises en œuvre pour assurer l’imputabilité des actions (ex. : bastion, main courante…) et assurer la protection du secret. L’absence de telles mesures et/ou d’individualisation des comptes est susceptible de constituer un manquement à l’article 32 du RGPD. Article(s) du RGPD Article 5 – Principes relatifs au traitement Article 32 – Sécurité du traitement Thème(s)Authentification Confidentialité Fait référence à Autres informations

Apport(s)

Accès à des données personnelles non publiques - Utilisation de compte partagés - 1) Cas général - Manquement en principe - 2) Cas des administrateurs - Manquement grave en principe

Extrait(s) pertinent(s)1) Au titre des mesures élémentaires de sécurité, il est en principe nécessaire que l’accès à un système d’information contenant des données à caractère personnel qui n’ont pas vocation à être publiées se fasse à travers un compte individuel, auquel l’utilisateur se connecte par un identifiant et un facteur d’authentification propres. En effet, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système. Les comptes partagés rendent beaucoup plus difficile l’imputabilité d’une action et compliquent le travail d’investigation en cas d’incident de sécurité ou de violation de données. Par ailleurs, s’agissant des mots de passe, conformément aux règles élémentaires relatives à la sécurité des systèmes d’information, un mot de passe doit, pour être efficace, demeurer secret et individuel. Or, lorsqu’un compte est partagé entre plusieurs personnes, cette règle n’est plus respectée.

2) Cette exigence d’individualisation des comptes présente une acuité particulière s’agissant des administrateurs, qui disposent de droits plus étendus sur les données à caractère personnel traitées par le système, ce qui en fait des cibles d’attaque informatique et rend nécessaire de pouvoir détecter rapidement et efficacement une violation de données réalisées par l’un d’entre eux. À défaut, et en particulier lorsque des systèmes ou des équipements ne permettent pas de disposer de plusieurs comptes d’administration, des mesures complémentaires doivent être mises en œuvre pour assurer l’imputabilité des actions (ex. : bastion, main courante…) et assurer la protection du secret. L’absence de telles mesures et/ou d’individualisation des comptes est susceptible de constituer un manquement à l’article 32 du RGPD.
Article(s) du RGPD Article 5 – Principes relatifs au traitement
Article 32 – Sécurité du traitement
Thème(s)Authentification Confidentialité
Fait référence à
Autres informations

Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion