Skip to main content
Cybersécurité

Cybersécurité : la CNIL clarifie ses attentes pour les grandes bases de données

Imprimer

Publication de la CNIL sur son site internet – 30 avril 2025

L’année 2024 a été marquée par un nombre record de violations de données personnelles, impliquant parfois des millions de personnes. Dans un grand nombre de cas, ces incidents ont mis en évidence des failles techniques basiques mais récurrentes : mots de passe compromis, absence de surveillance active, dispositifs de sécurité insuffisamment dimensionnés. Ce constat préoccupant a conduit la CNIL à publier une communication dédiée à la sécurisation des grandes bases de données. Cette publication s’inscrit dans son plan stratégique 2025–2028, qui place la cybersécurité au cœur de ses priorités opérationnelles.

La CNIL utilise l’expression de « grandes bases de données » pour désigner les systèmes qui permettent le traitement de données personnelles portant sur « plusieurs millions de personnes ». Elle inclut dans cette catégorie les bases de données « clients » et les logiciels CRM (customer relationship management). Selon l’autorité, les grandes bases de données présentent un risque aggravé du fait de leur ampleur : une seule faille peut avoir un impact sur des pans entiers de la population et faciliter d’autres attaques par rebond. Le cadre juridique existant impose déjà des mesures de sécurité adaptées au risque (articles 5.1.f et 32 du RGPD), mais la CNIL estime nécessaire de clarifier les attentes supplémentaires applicables à ces environnements. Ces exigences viennent compléter les référentiels de sécurité existants (guide CNIL, mesures prioritaires de l’ANSSI) et doivent être mises en œuvre en articulation avec les principes de minimisation et de protection des données dès la conception.

La CNIL identifie quatre mesures de sécurité qu’elle considère comme devant, en principe, être mises en œuvre lorsqu’un traitement implique une grande base de données :

  1. Imposer l’authentification multifacteur pour les accès externes

Une grande part des violations notifiées en 2024 ont été permises par la compromission d’un compte légitime, souvent via des attaques de type phishing ou l’exploitation d’un mot de passe réutilisé. Pour limiter ce risque, la CNIL considère que les accès externes à un système contenant plusieurs millions de données personnelles doivent reposer sur une authentification multifacteur (MFA). Il s’agit sans conteste de la mesure centrale de la publication. La CNIL en souligne d’ailleurs la portée au-delà du seul contexte des grandes bases de données, en rappelant que ce mécanisme constitue également une exigence clé pour d’autres types de traitements, notamment dans les domaines bancaire ou pour le traitement des données sensibles.

Pour mettre en œuvre la MFA, les organismes sont invités à se référer à la récente recommandation de la CNIL en la matière. Dans ce texte, l’autorité détaille les conditions dans lesquelles cette forme d’authentification peut être déployée en conformité avec le RGPD. Parmi les points saillants de cette recommandation, l’on peut notamment citer :

  • La préférence de la CNIL pour les systèmes d’authentification MFA reposant sur une connaissance (ex : un mot de passe) et une possession (ex : clé USB, jeton OTP, téléphone connecté) ; le recours à la biométrie (ex : empreinte digitale, reconnaissance faciale) devant être réservé à des cas très spécifiques.
  • La nécessité de limiter la collecte aux seules données strictement nécessaires, en privilégiant les méthodes les moins intrusives et évitant toute collecte additionnelle superflue. La CNIL donne notamment plusieurs exemples de mécanismes reposant sur des traitements purement locaux, pouvant dans certains cas tomber dans le champ de l’exception des traitements « domestiques » non concernés par le RGPD.
  • L’importance de sécuriser les opérations d’administration et de gestion de la solution MFA elle-même.
  • L’exigence de définir les durées et modalités de conservation des données liées à la solution MFA – la CNIL renvoyant pour partie à ses recommandations spécifiques relatives aux mots de passe ou à la biométrie.
  • L’enjeu de réaliser des analyses de risques préalables pour évaluer les points précédents ainsi que d’autres, comme les risques de lassitude des utilisateurs face aux demandes trop récurrentes de MFA, pouvant mener ces derniers à accepter des demandes frauduleuses par inattention.  
  1. Limiter les possibilités d’exfiltration de données

Les systèmes doivent être conçus pour détecter et entraver la copie massive de données. La CNIL recommande notamment d’encadrer techniquement les exports, de limiter les volumes téléchargeables par requête ou par session, et d’instaurer des seuils d’alerte en cas de comportement suspect. La journalisation des accès et des extractions doit permettre une supervision en temps réel et une analyse a posteriori efficace en cas d’incident.

  1. Impliquer les utilisateurs dans la sécurisation des traitements


La sécurité des données repose aussi sur les comportements des utilisateurs. La CNIL recommande la mise en place de programmes réguliers de sensibilisation, adaptés aux profils (collaborateurs, développeurs, dirigeants, sous-traitants), pour prévenir les erreurs les plus fréquentes : partage de comptes, clics sur des liens frauduleux, installation de logiciels malveillants. Ces actions doivent être documentées, évaluées et intégrées dans la gouvernance de la sécurité. Leur absence ou leur caractère purement formel pourra être considéré comme un manquement aux obligations de sécurité.

  1. Encadrer rigoureusement les relations avec les sous-traitants


La CNIL a récemment publié des exemples tirés d’incidents réels, illustrant le fait que les risques d’accès non autorisés aux bases de données se matérialisent très souvent via les sous-traitants. Dans ce contexte, les traitements de très grands volumes de données confiés à des prestataires – notamment en environnement cloud – doivent être encadrés de manière renforcée. La CNIL attend du responsable de traitement qu’il obtienne du sous-traitant sa politique de sécurité (PSSI), les preuves de certification, et qu’il prévoie des audits réguliers pendant toute la durée de la relation contractuelle. L’ensemble de la chaîne de sous-traitance doit être couverte, y compris les prestataires ultérieurs.

La CNIL indique que ces exigences feront l’objet de contrôles spécifiques à partir de 2025. Elle précise que les mesures de sécurité attendues doivent être adaptées à l’architecture technique, et documentées de manière à permettre leur évaluation en cas de vérification. S’agissant de l’authentification multifacteur, la CNIL reconnait que sa mise en place implique des coûts et ressources importants et annonce qu’elle attendra 2026 pour focaliser ses contrôles sur ce point.

Il convient de souligner que la CNIL n’a pas présenté sa publication comme un simple recueil de « bonnes pratiques » ou une nouvelle « recommandation », mais bien comme un ensemble de « consignes ». Ce choix lexical reflète le caractère prescriptif des mesures énoncées, que l’autorité considère comme devant être mises en œuvre pour les traitements impliquant des grandes bases de données. Leur absence pourra, le cas échéant, constituer un manquement susceptible de justifier des sanctions – une position que la CNIL explicite déjà clairement à propos de l’authentification multifacteur.

Imprimer

Articles sur le même sujet

Actualités - Produits

Vente en ligne de médicaments de Prescription Médicale Facultative : la fin de l’exception française


Données personnelles

Avancé des travaux de la CNIL sur les objets connectés


Contrat de travail – Rémunération

Elections législatives 2017 : que prévoit le code du travail pour les salariés candidats aux élections et les députés sortants ?


Close Menu