Le RGPD et les bonnes pratiques pour la protection des données
Entrons dans le vif du sujet : si le RGPD mentionne que les entreprises et structures publiques doivent mettre en œuvre les mesures de sécurité pour protéger les données personnelles, il ne mentionne rien sur les techniques ou les outils à adapter.
En outre, cette réglementation fait une distinction entre les données personnelles (coordonnées, adresse IP...) et les données personnelles sensibles qui doivent faire l’objet de mesures de protection accrues (par exemple : données de santé, données biométriques, opinions politiques, orientation sexuelle, culte...).
Nous allons aborder les détails relatifs à la cybersécurité par la suite, mais il faut savoir que le RGPD ne concerne pas seulement la sécurité informatique.
En effet le règlement porte sur la sécurité des données quel que soit le support : aussi bien les données présentes sur des ordinateurs ou des serveurs que des données personnelles stockées sur des supports papier.
La sécurisation doit donc s’appliquer autant au système d’information qu’aux actifs matériels d’une entreprise. En d’autres termes, au regard du RGPD, une solution de cybersécurité a autant d’importance qu’un cadenas sur un placard.
Ainsi, dans la mesure où le RGPD n’impose pas d’outils ni de techniques pour protéger les données, il convient de parler de bonnes pratiques pour se mettre en conformité, plutôt que d’obligations.
Par ailleurs, en plus du RGPD, certains secteurs d’activité sont aussi soumis à des exigences spécifiques.
Dans les secteurs de la banque et de la finance par exemple, DORA est une réglementation européenne qui oblige les entreprises ainsi que leurs prestataires à se conformer à un certain nombre d’exigences en matière de cybersécurité.
Enfin, le RGPD oblige à déclarer les violations de données personnelles à la CNIL, et ce quelle que soit la nature de l’incident.
Incident sur les données personnelles : comment faire une déclaration ?
Qu’il s’agisse d’une intrusion sur des serveurs ou du vol de documents physiques comportant des données personnelles, la CNIL doit être notifiée en cas d’incident.
A la suite d’une violation de données, les équipes concernées (DPO le cas échéant) sont chargées de la collecte des informations nécessaires à la déclaration CNIL qui doit intervenir dans un délai de 72h.
Certains secteurs d’activité, comme par exemple celui de la défense, peuvent faire l’objet de procédures particulières pour la déclaration d’un incident.
Le conseil d’expert
Vous ne faites pas la différence entre les recommandations émise par l’UE, les règlements et les directives ? C’est très simple.
- Une recommandation, comme son nom l’indique, n’a pas de valeur obligatoire. Au niveau européen, les pays n’ont pas d’obligation de la transposer et elle ne lie pas les états membres.
- Une directive n’a pas d’application directe mais vise à orienter le droit local pour s’y conformer. Au niveau européen, les pays membres ont l’obligation de transposer les directives dans leur droit interne. C’est le cas de NIS 2, par exemple.
- Un règlement s’applique pour chaque pays membre de l’UE, comme par exemple, le RGPD ou DORA.
Protection des données : un peu d’histoire du droit
La protection des données personnelles s’est imposée comme enjeu dans le droit européen dès les années 70.
C’est devenu un droit fondamental en France et en Allemagne en réaction aux dérives auxquelles ont mené l’utilisation des données personnelles pendant la Seconde Guerre Mondiale ; les pays du Nord de l’Europe ont suivi la même dynamique ; l’Espagne et le Portugal l’ont par exemple sanctuarisé dans leurs constitutions respectives... De manière générale sur le continent européen, la protection des données est envisagée comme un droit fondamental pour les individus.
La vision américaine est quant à elle bien différente : les données personnelles peuvent être exploitées tant que cette exploitation ne cause pas de tort ou de dommage. Ce principe a infusé le droit européen à partir des années 1980 (le Royaume-Uni adoptant une approche hybride de la protection des données dès cette période), ce qui a ouvert la voie à l’avènement des usages entraînés par les plateformes aujourd’hui devenues les géants d’internet.
Et qu’en est-il des solutions de cybersécurité ? Comme toute entreprise, les éditeurs de solutions de cybersécurité sont soumis à des obligations pour protéger les données.
RGPD : les obligations des éditeurs de solutions de cybersécurité
Un éditeur de logiciel de cybersécurité fournit une solution à un client qui en a l’usage.
Le client collecte des données personnelles via ce logiciel en vue de les traiter pour détecter et remédier aux menaces informatiques.
Dans le cas d’une solution SaaS, toutes les données collectées et traitées par le client sont stockées dans le Cloud.
Ainsi, le client qui a l’obligation de protéger les données personnelles en vertu du RGPD est tenu de répercuter ces obligations sur ses prestataires et fournisseurs tiers.
Les outils de cybersécurité doivent donc eux aussi être en conformité avec le RGPD.
Il en va de même pour les règlementations propres à un secteur d’activité, par exemple DORA pour les secteurs banque et finance : tous les sous-traitants doivent s’y conformer à travers des procédures spécifiques.
Et en ce qui concerne les partenaires ou MSSP pour les organisations qui externalisent la gestion de leurs solutions de cybersécurité ou leur SOC ?
RGPD : les obligations des MSSP et des partenaires
Un MSSP est un sous-traitant, et lui aussi doit se mettre en conformité avec le RGPD pour respecter les engagements de son client. De ce fait, il doit également s’assurer que les logiciels fournis à son client final sont bien conformes.
En somme, le RGPD doit être appliqué sur toute la chaîne : depuis l’éditeur de la solution aux utilisateurs finaux, en passant par les tiers !
Besoin d'une solution de sécurité qui répond aux enjeux de protection des données sensibles ?
Découvrez notre offre On-Premises :
