Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018 en France. Cela fait donc maintenant presque 6 ans, que les entreprises et organisations françaises doivent être en conformité avec ce règlement. Pourtant de nombreuses organisations sont encore condamnées pour non-respect des règles énoncées par le RGPD.
Afin de comprendre l’ampleur du RGPD ainsi que son lien avec la Cybersécurité, il est important de revenir sur les prémices de ce règlement.
L’ère du RGPD
Ce règlement est une décision de l’Union Européenne qui permet d’uniformiser l’encadrement et le traitement des données à caractère personnel sur le territoire de l’UE.
L’objectif est aussi d’affirmer une sécurité européenne en harmonisant les règles afin d’offrir un cadre juridique unique pour tous. La protection de la vie privée des citoyens européens est donc le mot d’ordre de ce Règlement.
Ainsi, chacun peut agir sur la façon dont ses données personnelles peuvent être traitées et protégées.
Mais alors, qu’est-ce qu’une donnée à caractère personnel ?
La définition donnée par le Règlement et confirmée par la CNIL relate qu’il s’agit de « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. »
En définitive, dès que la donnée permet d’identifier une personne, elle est considérée comme une donnée à caractère personnel.
Il peut s’agir par exemple :
- Un nom, un prénom
- Une photo
- Une adresse postale
- Une adresse email
- Un numéro de téléphone
- Un matricule
- Un numéro de sécurité sociale
- Une adresse IP
- …
Qu’en est-il du traitement de la donnée à caractère personnel ?
Lorsque le Règlement évoque la notion de traitement, il s’agit de « toute opération portant sur des données personnelles, quel que soit le procédé utilisé. »
Par exemple :
- L’enregistrement
- L’organisation
- La conservation
- La modification
- La transmission
- …
Dès lors que la donnée est manipulée, ne serait-ce même que consultée, il s’agit d’un traitement de la donnée à caractère personnel (que celui-ci soit digitalisé ou non).
La mise en place du RGPD
Cybersécurité & RGPD
Parce qu’aujourd’hui Cybersécurité et RGPD sont liés, l’un ne va pas sans l’autre.
Le RGPD est donc ainsi étroitement lié à la Cybersécurité : c’est le 1er pas vers une stratégie Cyber au sein des organisations quelles qu’elles soient.
Lorsque le RGPD est mis en place en interne, une cartographie des risques est alors identifiée notamment en termes de cybersécurité et de sécurité informatique. Il s’agit plus précisément d’une analyse d’impact en cas de survenance du risque (AIPD : Analyse d’Impact relative à la Protection des Données). Une notation peut y être ajoutée en fonction de la gravité du risque ainsi que la fréquence probable de survenance du risque.
En découle alors des actions qui doivent être menées sur le plan cyber afin de protéger les systèmes mais aussi de rendre l’organisation résiliente en cas de crise.
Le RGPD fait d’ailleurs le lien, en réclamant « la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque numérique ».
En cas d’attaque cyber (phishing, smishing, vishing, fraude au président…), le RGPD est un outil essentiel qui peut permettre d’identifier les actions à mettre en place en amont mais aussi le moment venu.
Dans le domaine de la santé par exemple, nombreuses informations à caractère personnel sont sensibles notamment les données de santé. Les données sensibles doivent avoir un niveau de sécurité plus élevé afin d’éviter tous risques de vol des données, d’usurpation d’identité…
C’est pourquoi, suite à la réalisation du registre RGPD, puis d’une analyse de risque, une stratégie de cybersécurité doit être formalisée afin de rendre résiliente les organisations et de renforcer leur capacité de réaction en cas de crise.
Exemple d’actions pouvant être mis en place :
- Checklist des actions en cas d’incident
- Création de fiches réflexe
- Sensibilisation / Formation du personnel sur les notions de RGPD et Cybersécurité
- Procédure de gestion des mots de passe
- Procédure de gestion des habilitations
- Tester les SI
- …
Il est important de mentionner que l’humain est souvent la première victime des cyberattaques, d’où l’important de sensibiliser et de former les collaborateurs afin que ceux-ci deviennent les premiers lanceurs d’alerte et constituent le premier rempart face aux attaques cyber.
Le RGPD est donc un instrument non négligeable mis au service de la Cybersécurité.
Rôle de la CNIL
La Commission Nationale Informatique et Libertés a été créé en 1978 à la suite de la loi Informatique et Libertés. Il s’agit d’une autorité administrative indépendante dont la vocation est de veiller à la protection des données personnelles.
Afin de mener à bien sa mission, la CNIL joue un rôle bien particulier en tant que régulateur des données personnelles. A ce titre, plusieurs missions lui incombent :
- L’information, l’accompagnement et la sensibilisation
Communication au niveau national pour informer particuliers et professionnels au sujet de leurs droits.
Accompagnement des entreprises et organismes (publics ou privés) afin de les aider à se mettre en conformité par rapport au RGPD.
- Pouvoir de contrôle et de sanction
Veiller à la bonne application des règles du RGPD au sein des entreprises, organismes et associations.
La CNIL a la possibilité de sanctionner les organisations.
🔎 Pour en savoir plus sur les missions de la CNIL : https://www.cnil.fr/fr/les-missions-de-la-cnil
Risques et sanctions en cas de non-respect du RGPD
En cas de non-respect du traitement des données des citoyens européens, la CNIL a le pouvoir de faire des rappels à l’ordre, de donner des avertissements, de sanctionner ou encore de prononcer une amende administrative.
Le RGPD pose les principes du montant des sanctions financières. Celles-ci peuvent aller jusqu’à 20 millions d’euros ou dans le cas d’une entreprise, le montant peut aller jusqu’à 4% du chiffre d’affaires annuel mondial.
Exemple de sanctions prises par la CNIL :
🔒Sanction envers Yahoo : https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-yahoo-dune-amende-de-10-millions-deuros
🔒Sanction envers Amazon France Logistique : https://www.cnil.fr/fr/surveillance-des-salaries-la-cnil-sanctionne-amazon-france-logistique-dune-amende-de-32-millions
🛡️Retrouvez ici toutes les sanctions prononcées par la CNIL en 2023 : https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil
Pour plus d’informations, demandez-nous une démonstration