CIL

Le service "plaintes en ligne" conforme au référentiel général de sécurité (RGS)

27 septembre 2011

Qu'est-ce que le RGS ?

Le développement des services en ligne aux usagers passe par la confiance en leur sécurité.

Pour faciliter leur développement, l'ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités dispose que les téléservices de ces autorités soient conformes au référentiel général de sécurité (RGS).

Le RGS a été rédigé conjointement par l'Agence nationale de sécurité des systèmes d'information (ANSSI) et la Direction générale de la modernisation de l'État (DGME). Il définit un ensemble de règles de sécurité qui s'imposent aux autorités administratives dans la sécurisation de leurs systèmes d'information.

Le RGS impose notamment aux administrations :

• d'identifier les informations à protéger et les menaces à considérer au moyen d'une analyse de risques,
• de déterminer les fonctions de sécurité nécessaires pour traiter les risques identifiés,
• de respecter les règles du RGS pour les fonctions qui y sont décrites (signature électronique, authentification, chiffrement, horodatage, ainsi que d'une manière générale tout mécanisme cryptographique et processus de gestion des clés).

En outre, il est recommandé de recourir à des produits de sécurité et offres de services de prestataires qualifiées. Enfin, une autorité doit attester formellement de la prise en compte de la sécurité par le biais d'une homologation de sécurité, acte par lequel elle engage sa responsabilité. Cette décision doit être accessible par Internet.

La CNIL est l'une des premières autorités administratives à réaliser la démarche complète de mise en conformité.

Pour garantir cette conformité, le téléservice de plaintes en ligne de la CNIL a fait l'objet d'une étude de risques et d'une homologation de sécurité.

• La CNIL a réalisé une cartographie des risques, identifié des mesures pour les traiter de manière proportionnée et déterminé un plan d'action.
• Ella a démontré que le téléservice répondait aux exigences de l'ordonnance et du RGS.
• Enfin, en homologuant le téléservice pour une durée d'un an, la Commission réunie en séance plénière a approuvé la manière de traiter les risques et accepté les risques résiduels.

La CNIL s'engage ainsi à améliorer la sécurité du téléservice de manière continue. Des mesures de sécurité complémentaires devront être mises en œuvre dans l'année et l'étude des risques devra être tenue à jour en fonction des évolutions significatives.

Cette démarche intègre une obligation de rendre compte de manière transparente afin d'apporter la confiance nécessaire aux citoyens qui bénéficient des services de la CNIL.