Outre les signalements et les plaintes en nombre croissant, la CNIL a reçu 1 170 notifications de violations de données personnelles entre la fin mai 2018 (date d’entrée en vigueur du RGPD) et la fin décembre 20182, mettant «en évidence des faiblesses des systèmes d’information ou des processus mis en œuvre au sein des entreprises». Tout comme en 2017, la majorité et les montants les plus élevés des sanctions prononcées en 2018 par la CNIL l’ont été pour des manquements graves (manquements aux «précautions et mesures élémentaires») à la sécurité et à la confidentialité des données traitées à l’origine des violations de données constatées.

La sécurité des traitements de données personnelles est doublement systémique pour les entreprises, comme composante essentielle à la fois de leur conformité au RGPD et de la sécurité de leurs systèmes d’information critiques.

La sécurité est érigée et déclinée dans le RGPD en composante essentielle du droit fondamental de protection des personnes physiques à l’égard des traitements de données personnelles, des principes et des règles régissant la conformité des traitements à cet effet et du principe de responsabilité, imposant aux responsables de traitement non seulement le respect mais la démonstration du respect de ces garanties et exigences.

L’obligation de sécurité a pour finalité de garantir une «sécurité appropriée» des données et des systèmes et services de traitement contre les risques, incidents et dommages potentiels de compromission3 par des «moyens appropriés» pour prévenir, limiter et surveiller ces risques, gérer les incidents et y remédier et atténuer les éventuels dommages.

La conformité en la matière repose ainsi sur la prévision dès la conception, l’adoption et la mise en œuvre des moyens appropriés aux plans organisationnel4, technique et documentaire5 pour s’assurer, garantir et être en mesure de démontrer un niveau de sécurisation et de sécurité approprié. L’obtention d’une certification de sécurité par un prestataire de confiance qualifié apporte cette démonstration.

Le niveau élevé des sanctions et l’obligation de notification des violations de données personnelles introduits par le RGPD incitent à une conformité optimale.

En effet, tout d’abord les manquements à l’obligation et aux responsabilités de sécurité, qui peuvent être multiples, et le manquement à l’obligation de notification des violations sont passibles de lourdes sanctions administratives6 et de poursuites pénales7. La démarche de conformité permet ainsi également de prévenir et de limiter ces risques.

Ensuite, la démarche de conformité a vocation à assurer prévention, limitation et remédiation contre les risques et les incidents de sécurité, et donc, tout d’abord, à réduire a priori les cas de notification et de communication obligatoires (qui présupposent respectivement un «risque» et un «risque élevé» pour les droits et libertés des personnes physiques concernées) et les risques associés de dommages à l’image, à la réputation et à la confiance, ensuite, en cas de violation effectivement subie et à risque pour les personnes concernées, à faciliter les informations, les explications et les mesures correctives, enfin, à être en mesure de démontrer que cette violation ne résulte pas d’un manquement patent à la sécurité ou en tout cas à la préoccupation de sécurité. Ce point est important en cas de défaut de sécurité causal dans la violation de données, dans l’aiguillage de l’opportunité des poursuites par la CNIL et le cas échéant dans le niveau de la sanction.

Il en va tout à l’inverse en l’absence de démarche de conformité, le déclenchement de l’obligation de notification pouvant alors précisément conduire à révéler toutes les éventuelles carences et insuffisances de moyens de sécurité et tous les éventuels manquements afférents.

La sécurité des traitements est indissociable, dans son appréhension cartographique, sa gouvernance et ses moyens opérationnels, de la sécurité de l’ensemble des systèmes d’information critiques de l’entreprise, réglementés8 ou non.

La démarche de sécurité conforme s’intègre ainsi dans la responsabilité fondamentale et la gestion optimale de la protection des systèmes d’information critiques de l’entreprise et peut utilement s’appuyer sur les référentiels établis et sur les prestataires de confiance qualifiés par l’ANSSI. 

1. DMISC, rapport 2018.

2. CNIL, rapport pour 2018.

3. Contre les failles, les incidents, les intrusions et les violations de sécurité de nature à compromettre la disponibilité, l’authenticité, l’intégrité et la confidentialité des systèmes de traitement et à entraîner la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux données.

4. Politique et règles de sécurité et d’information afférente ; gouvernance, processus et documentations internes ; recours à des prestataires qualifiés pour les audits, les produits, la supervision et les tests de sécurité ; objectifs de certification, etc.

5. Documentation d’évaluation des niveaux de risque et de sécurité appropriée des traitements ; documentation des mesures de sécurité dans le registre des activités de traitement ; documentation des garanties et clauses de sécurité des sous-traitants et le cas échéant des fabricants de produits, des prestataires de services, des producteurs d’applications et des fournisseurs liés aux traitements ; documentation des violations de données personnelles.

6. Jusqu’à 2 % du CA annuel mondial total au titre des règles des articles 32 à 34 et jusqu’à 4 % au titre des principes de bases des traitements (article 5) dont la sécurité des traitements (f).

7.C. Pén., art. 226-17 et 226-17-1.

8. Par exemple : les SI critiques des «opérateurs de services essentiels» (voir la directive «NIS» et la loi n° 2018-133, le décret n° 2018-384 et l’arrêté du 14 sept. 2018 assurant la transposition de cette directive).