Depuis plusieurs années et à cause de phénomène tel que l’épidémie de Covid-19, les sociétés ont dû accélérer leur transformation numérique et la question de la protection des données recueillies devient de plus en plus préoccupante. On note par exemple la multiplication d’affaires concernant la fuite de données médicales ces dernières années (l’AP-HP en 2021 ; Assurance Maladie en 2022 etc).
Jusqu’à présent, la protection des données était l’affaire du DPO, garants de la bonne utilisation des données récoltées et utilisées par son organisation ; mais avec l’adoption de futures lois imposées par la directive NIS 2, les entreprises vont devoir lier cette protection avec les concepts de cybersécurité.
Il n’était pas rare que DSI et DPO collaborent déjà, les prochaines années vont voir se renforcer ce travail conjoint afin de contrer un marché de la vente de données et d’arnaques toujours plus grandissant. Le sujet est donc partagé entre les directions DSI, DG mais aussi les RH et autre services traitant de données personnelles.
Quelques définitions :
RGPD : le Règlement Général sur la Protection des Données entré en application le 25 Mai 2018, vise à encadrer le traitement des données de manière égalitaire sur tout le territoire de l’UE. Il pousse les entreprises à réfléchir sur les finalités d’une récolte de données personnelles ou professionnelles afin de limiter le stockage de toute information inutile. Toute entreprise doit s’y conformer ; à minima pour le recueil des données de ses salariés ou les données du patient dans le secteur de la santé et du médico-social.
NIS 2 : la directive NIS 2 ( Network and Information Security) publié au Journal Officiel de l’Union Européenne le 22 Décembre 2022 fait suite à la NIS 1, afin d’accroitre les niveaux de cybersécurité au sein des entreprises des pays membres de l’UE. Chaque Etat membre de l’UE dispose de 21 mois pour transposer en droit national les différentes exigences réglementaires.
DPO : (Data Protection Officer) Le Délégué à la protection des données est en charge de la protection des données personnelles au sein d’une organisation. Il s’assure d’informer et de conseiller son organisation des réglementations sur la protection des données personnelles et peut intervenir en cas de mauvaises applications des directives. Pour permettre une meilleure analyse des incidences, il peut mettre en place un registre des traitements effectués sur les données.
Quelques changements prévus par la directive :
Par rapport à la précédente directive, les secteurs concernés sont élargis et devraient à terme couvrir l’ensemble des « activités économiques et sociétales essentielles dans le marché intérieur ».
Une gradualisation des obligations sera aussi mise en place en fonction de la criticité du secteur :
– Quelques secteurs dits « hautement critiques » : énergie, transports, secteur bancaire, santé, eau…
– Quelques « autres secteurs critiques » : services postaux, gestion des déchets, production et distribution de produits chimiques, production transformation et distribution des denrées alimentaires, fournisseurs numériques …
Les Etats devront veiller à ce que les entreprises forment régulièrement leur personnel afin d’acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’organisation. Des formations liées à la question de la cybersécurité et de la protection des données seront sûrement donc à prévoir à l’avenir.
Ces nouvelles directives vont permettre à des entités telles que l’ANSSI (Agence Nationale de la Sécurité et des Systèmes d’Information) ou la CNIL (Commission Nationale de l’Informatique et des Libertés) en France, de pouvoir exercer des sanctions aux acteurs ne respectant pas les nouvelles directives en vigueur.
La directive NIS 2 étant récente, elle n’est pas encore appliquée dans la loi française, le gouvernement prévoit dès le premier semestre 2023 d’informer les acteurs concernés des futurs changements aux organisations.
Bonnes pratiques à adopter pour protéger ses données:
Rappel de quelques obligations des entreprise en terme de RGPD et rappel sur les bonnes pratiques à adopter pour protéger ses données en entreprises
- Recueillir l’accord pour la récolte de données
- Avoir un DPO dans ses effectifs ET chez ses sous-traitants
- Tenir un registre des traitements de données
- Appliquer toutes les mises à jour informatique proposées lorsqu’elles contiennent des correctifs de failles de sécurité
- Privilégier les authentifications multi-facteurs sur toutes les plateformes qui le permettent et changer régulièrement ses mots de passe
- Prévoir des sauvegardes hors-ligne et pour les plus ardus, crypter ses documents pour empêcher tout type de destruction ou de vol de données.
Cette liste n’est pas exhaustive.
Sources :
https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd
https://www.cybermalveillance.gouv.fr/diagnostic/8594e04a-d232-414b-b8b1-d89bf1c0af5c