116 – Le chiffrement des équipements mobiles, des transferts de données

La CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clé USB, disque dur externe, CD-R, DVD-RW, etc…) et des transferts de données à caractère personnel.

Cela inclut par exemple : le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose ; le chiffrement fichier par fichier ; la création de conteneurs chiffrés (fichier susceptible de contenir plusieurs fichiers). De nombreux ordinateurs portables intègrent une solution de chiffrement du disque dur : le cas échéant, il convient d’utiliser cette fonctionnalité. Concernant les smartphones, en plus du code PIN de la carte SIM, il convient d’activer le verrouillage automatique du terminal et exiger un secret pour le déverrouiller (mot de passe, schéma, etc…).

Il est recommandé de chiffrer les données avant leur enregistrement sur un support physique à transmettre à un tiers (DVD, clé USB, disque dur portable). Lors d’un envoi via un réseau, la CNIL recommande d’utiliser un protocole garantissant la confidentialité et l’authentification du serveur destinataire pour les transferts de fichiers (par exemple SFTP ou HTTPS) et d’assurer la confidentialité des secrets (clé de chiffrement, mot de passe, etc.) en les transmettant via un canal distinct (par exemple, envoi du fichier chiffré par e-mail et communication du mot de passe par téléphone ou SMS).

https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf