Délibération 81-94 du 21 juillet 1981

Délibération portant adoption d'une recommandation relative aux mesures générales de sécurité des systèmes informatiques
La Commission Nationale de l'Informatique et des Libertés ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et notamment les articles 3, 21 (par. 3), 29, 36 (par. 3) et 43 (par. 2) ;
Considérant, que les règlements types prévus par la loi pourront être établis en concertation avec les représentants qualifiés des secteurs d'activité concernés en raison, d'une part, des différences des systèmes de traitement, tant par leur diversité de nature que leur variété de puissance et d'organisation, et d'autre part, des progrès techniques permanents en matière d'informatique et de télécommunication ; qu'il appartient néanmoins aux détenteurs ou utilisateurs de fichiers nominatifs de prendre, sous leur responsabilité, préalablement à toute mise en oeuvre d'une application informatique, compte tenu de la finalité du traitement, du volume des informations traitées et de leur degré de sensibilité au regard des risques d'atteinte à la personne humaine, les mesures générales de sécurité necessaires, quelle que soit la puissance du système intéressé, afin de répondre aux préoccupations essentielles en la matière, mesures concernant notamment : - le contrôle de la fiabilité des matériels et des logiciels qui doivent faire l'objet d'une étude attentive afin que des erreurs, lacunes et cas particuliers ne puissent conduire à des résultats préjudiciables aux personnes, - la capacité de résistance aux atteintes accidentelles ou volontaires extérieures ou intérieures en étudiant particulièrement l'implantation géographique, les conditions d'environnement, les aménagements des locaux et de leurs annexes. Au sens de la présente délibération doivent être considérées comme : - atteintes accidentelles celles qui résultent des désastres naturels tels que incendie, inondation, tremblement de terre ... ou qui proviennent des sources assurant le fonctionnement des systèmes informatiques telles que le conditionnement d'air, l'alimentation électrique, - atteintes volontaires celles qui visent à la destruction totale ou partielle des installations, celles qui ont pour objet le vol ou l'altération des logiciels, le détournement, l'altération ou la destruction d'informations.
Recommande : - que l'évaluation des risques et l'étude générale de la sécurité soient entreprises systématiquement pour tout nouveau traitement informatique, et réexaminées pour les traitements existants ; - qu'un effort d'information et de sensibilisation auprès des catégories professionnelles concernées les motive dans le sens d'une participation accrue à l'application des mesures de sécurité retenues ; - qu'un soin tout particulier soit apporté à définir les dispositions destinées à assurer la sécurité et la confidentialité des traitements et des informations, à les consigner dans un document de référence, à les tenir à jour et à veiller de manière permanente à leur respect ; - que les responsabilités des personnels participant au respect des mesures de sécurité soient clairement définies ; - que des actions concertées entre les pouvoirs publics, les groupements professionnels d'utilisateurs, les constructeurs, les ingéniéries et les fournisseurs de matériels et de logiciels concourrent à préciser les sécurités offertes, à les garantir contractuellement, et à oeuvrer dans le sens d'une amélioration générale de la sécurité, qui doit être prise en considération dès la conception des produits matériels ou logiciels.
Retourner en haut de la page