De ce que je comprends, en ce qui concerne l’obligation d’assurer la sécurité des données personnelles, il y a une obligation de moyens, pas de résultats. Et c'est la formation restreinte de la CNIL qui évalue si les moyens étaient suffisants (selon l'état de l'art).
C'est qui, la "formation restreinte" de la CNIL ? Il y a des experts de la DINUM là-dedans ?
CNIL et DINUM sont des entités distinctes, pas de raison particulière à ce que des experts de la DINUM interviennent au niveau de la CNIL, si ? qu'y feraient-il ?
Posté par mahikeulbody .
Évalué à 2 (+0/-0).
Dernière modification le 14 janvier 2026 à 11:45.
CNIL et DINUM sont des entités distinctes, pas de raison particulière à ce que des experts de la DINUM interviennent au niveau de la CNIL, si ? qu'y feraient-il ?
Ma question était mal posée, effectivement. En fait, je voulais surtout savoir sur quel référentiel des bonnes pratiques de la sécurité numérique les experts de la CNIL s'appuient pour juger si l'obligation de moyens a été respectée ? (d'où ma référence à la DINUM que je supposais être, peut-être à tort, le référent dans ce domaine)
La CNIL donne des recommendations du type hash, chiffrage, durée de conservation, pertinence de conservation, qui accède à quoi etc. que l'on trouve sur leur site.
J'imagine qu'ensuite il suffit de vérifier si telle recommendation a été appliquée ou non.
Mais je n'arrive pas à savoir si ce sont juste des guides ou bien si l'ensemble forme un cahier des charges que l'entreprise doit avoir mis en œuvre pour ne pas avoir d'amende si elle subit malgré tout un piratage un jour. Si ce sont juste des guides de bonnes pratiques, déterminer s'il y a lieu d'infliger une amende ou non (et son montant) se fait sur quelles bases ? Le % de bonnes pratiques appliqués ? L'ampleur de la fuite ? C'est à la seule appréciation de la formation restreinte sans aucun barème prédéfini ?
(lègère adaptation d’un slogan publicitaire de Free)
Une grosse amende, ça va peut-être inciter les grosses entreprises à dépenser plus pour améliorer la sécurité des données, mais ça n’apporte rien à ceux qui sont déjà victimes d’usurpation d’identité ou qui vont l’être.
Face à l’augmentation de ce fléau, les pouvoirs publics devraient mettre plus de moyens pour les enquêtes et surtout prévoir des dispositifs pour que les victimes ne paient pas indéfiniment les pots cassés de ceux qui usurpent leur identité. Surtout qu’avec toutes les fuites qui ont déjà eu lieu, les données d’une bonne partie de la population sont déjà dans la nature.
La prise d’empreinte(s) pour établir une carte d’identité était présentée comme devant empêcher l’usurpation d’identité. On peut se demander quel était le but réel, mais pour l’instant on ne voit pas d’efficacité contre le vol d’identité.
« Le fascisme c’est la gangrène, à Washington comme en Russie. » — adapté de Renaud, Hexagone
Posté par mahikeulbody .
Évalué à 3 (+1/-0).
Dernière modification le 15 janvier 2026 à 13:09.
La prise d’empreinte(s) pour établir une carte d’identité était présentée comme devant empêcher l’usurpation d’identité. On peut se demander quel était le but réel, mais pour l’instant on ne voit pas d’efficacité contre le vol d’identité.
La prise d'empreintes, j'ai plutôt l'impression que c'est pour permettre aux autorités de vérifier ton identité. Pour réduire le risque d'usurpation identité auprès d'autres acteurs, il y a le justificatif d'identité numérique établi pour un destinataire identifié et une durée donnée et dont le destinataire concerné peut vérifier la validité. C'est beaucoup plus fiable qu'un filigrane (j'imagine que des IA savent ou sauront l'enlever) mais malheureusement ce moyen d’identification n'est quasiment jamais proposé comme alternative à la vidéo selfie avec ta CI dans la main (vidéo dont on ignore la durée de conservation, ni même chez qui vu que l'identification est la plupart du temps sous-traitée). Il devrait être obligatoire de proposer ce moyen pour ceux qui le veulent.
# obligation de moyens vs obligation de résultat
Posté par mahikeulbody . Évalué à 2 (+1/-1).
De ce que je comprends, en ce qui concerne l’obligation d’assurer la sécurité des données personnelles, il y a une obligation de moyens, pas de résultats. Et c'est la formation restreinte de la CNIL qui évalue si les moyens étaient suffisants (selon l'état de l'art).
C'est qui, la "formation restreinte" de la CNIL ? Il y a des experts de la DINUM là-dedans ?
[^] # Re: obligation de moyens vs obligation de résultat
Posté par BAud (site web personnel) . Évalué à 4 (+2/-0).
tu dois pouvoir te renseigner de ce côté : https://www.cnil.fr/fr/les-pouvoirs-de-la-formation-restreinte
CNIL et DINUM sont des entités distinctes, pas de raison particulière à ce que des experts de la DINUM interviennent au niveau de la CNIL, si ? qu'y feraient-il ?
[^] # Re: obligation de moyens vs obligation de résultat
Posté par mahikeulbody . Évalué à 2 (+0/-0). Dernière modification le 14 janvier 2026 à 11:45.
Ma question était mal posée, effectivement. En fait, je voulais surtout savoir sur quel référentiel des bonnes pratiques de la sécurité numérique les experts de la CNIL s'appuient pour juger si l'obligation de moyens a été respectée ? (d'où ma référence à la DINUM que je supposais être, peut-être à tort, le référent dans ce domaine)
[^] # Re: obligation de moyens vs obligation de résultat
Posté par wilk . Évalué à 3 (+1/-0).
La CNIL donne des recommendations du type hash, chiffrage, durée de conservation, pertinence de conservation, qui accède à quoi etc. que l'on trouve sur leur site.
J'imagine qu'ensuite il suffit de vérifier si telle recommendation a été appliquée ou non.
[^] # Re: obligation de moyens vs obligation de résultat
Posté par mahikeulbody . Évalué à 3 (+1/-0).
J'ai trouvé ça : https://www.cnil.fr/fr/technologies/cybersecurite
Mais je n'arrive pas à savoir si ce sont juste des guides ou bien si l'ensemble forme un cahier des charges que l'entreprise doit avoir mis en œuvre pour ne pas avoir d'amende si elle subit malgré tout un piratage un jour. Si ce sont juste des guides de bonnes pratiques, déterminer s'il y a lieu d'infliger une amende ou non (et son montant) se fait sur quelles bases ? Le % de bonnes pratiques appliqués ? L'ampleur de la fuite ? C'est à la seule appréciation de la formation restreinte sans aucun barème prédéfini ?
[^] # Re: obligation de moyens vs obligation de résultat
Posté par wilk . Évalué à 2 (+0/-0).
C'est flou car on ne trouve aucun autre terme que "lignes directrices" et "recommendations".
https://www.cnil.fr/fr/decisions/lignes-directrices-recommandations-CNIL
On peut voir une liste des sanctions et c'est un peu flou aussi, on voit "Défaut de coopération avec la CNIL" :
https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil
[^] # Re: obligation de moyens vs obligation de résultat
Posté par Voltairine . Évalué à 2 (+0/-0). Dernière modification le 14 janvier 2026 à 15:27.
C'est accessible directement quand on lit l'article :
https://www.cnil.fr/fr/definition/formation-restreinte
# Vous avez Free, pour un con on vous a pris !
Posté par Arthur Accroc . Évalué à 3 (+1/-0).
(lègère adaptation d’un slogan publicitaire de Free)
Une grosse amende, ça va peut-être inciter les grosses entreprises à dépenser plus pour améliorer la sécurité des données, mais ça n’apporte rien à ceux qui sont déjà victimes d’usurpation d’identité ou qui vont l’être.
Face à l’augmentation de ce fléau, les pouvoirs publics devraient mettre plus de moyens pour les enquêtes et surtout prévoir des dispositifs pour que les victimes ne paient pas indéfiniment les pots cassés de ceux qui usurpent leur identité. Surtout qu’avec toutes les fuites qui ont déjà eu lieu, les données d’une bonne partie de la population sont déjà dans la nature.
La prise d’empreinte(s) pour établir une carte d’identité était présentée comme devant empêcher l’usurpation d’identité. On peut se demander quel était le but réel, mais pour l’instant on ne voit pas d’efficacité contre le vol d’identité.
« Le fascisme c’est la gangrène, à Washington comme en Russie. » — adapté de Renaud, Hexagone
[^] # Re: Vous avez Free, pour un con on vous a pris !
Posté par mahikeulbody . Évalué à 3 (+1/-0). Dernière modification le 15 janvier 2026 à 13:09.
La prise d'empreintes, j'ai plutôt l'impression que c'est pour permettre aux autorités de vérifier ton identité. Pour réduire le risque d'usurpation identité auprès d'autres acteurs, il y a le justificatif d'identité numérique établi pour un destinataire identifié et une durée donnée et dont le destinataire concerné peut vérifier la validité. C'est beaucoup plus fiable qu'un filigrane (j'imagine que des IA savent ou sauront l'enlever) mais malheureusement ce moyen d’identification n'est quasiment jamais proposé comme alternative à la vidéo selfie avec ta CI dans la main (vidéo dont on ignore la durée de conservation, ni même chez qui vu que l'identification est la plupart du temps sous-traitée). Il devrait être obligatoire de proposer ce moyen pour ceux qui le veulent.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.