La gestion des risques cyber - compte-rendu de la journée RGPD de la CNIL du 09/04/24 à Lille

Dans un contexte de numérisation de la société, la Commission Nationale de l’Informatique et des Libertés (CNIL) - autorité de contrôle des données personnelles en France - a deux objectifs principaux : apporter de la sécurité juridique et créer de la confiance. En effet, son but est de redonner aux citoyens le contrôle sur leurs données en rendant les systèmes d’information moins opaques et plus transparents. Pour cela, elle a notamment décidé d’organiser des évènements récurrents ayant lieu partout en France, à diverses périodes, pour parler des actualités en droit du numérique : les journées RGPD (journées dédiées au règlement général sur la protection des données - RGPD -, mais pas que !)

Le 9 avril dernier, la CNIL a animé une journée RGPD à Lille, en collaboration avec la Faculté de Droit de l’Université Catholique de Lille et l'Association Française des Juristes d'Entreprise (AFJE). Au programme, plusieurs thématiques ont été abordées, que nous déclinerons sous forme de 4 publications :

• Le droit d’accès et l’encadrement des relations avec les sous-traitants
• L’intelligence artificielle : de la théorie à la pratique
• Le contrôle de la conformité au RGPD
• La gestion des risques cyber

Dans ce dernier article relatif à la journée RGPD de la CNIL à Lille, concentrons nous donc sur la gestion des risques cyber.

Les violations de données personnelles sont désormais courantes : 1 français sur 2 est concerné, avec notamment une hausse de 30% de cyberattaques l’année dernière en France et ⅓ des attaques qui concerne les TPE et PME. Pour réduire les risques, des actions simples, telles que des mesures préventives, peuvent être mises en place assez rapidement et aisément.

Les notifications de violation de données augmentent donc au fil du temps - les Hauts-de-France étant la région la plus impactée -, c’est un fait.

Concernant l’origine de ces violations de données :

• 55% sont issues d’actes malveillants externes
• 20% d’erreurs humaines internes (par exemple quelqu’un qui envoie un mail en CC au lieu de CCI)
• le reste de raisons autres telles que des menaces malveillantes internes (par exemple un salarié qui part de manière conflictuelle d’une entreprise.

Le RGPD impose une obligation de sécurité par le responsable de traitement (confidentialité, intégrité et disponibilité des données) et une gestion des risques pour les personnes concernées (divulgation non autorisée, altération et perte ou destruction des données). Pour aider les organismes, un guide pratique de sécurité des données personnelles a été élaboré par la CNIL en 2024, afin de leur permettre d’analyser finement les risques et même de s’auto-évaluer (par exemple la gestion de sécurité des échanges faits par API répondant à l’obligation de l’article 28 du RGPD de sécuriser les échanges).

Par contre, en cas de non-respect de l’article 32 du RGPD - article sur la sécurisation des données donnant notamment des exemples de moyens à utiliser - le code pénal prévoit 5 ans d’emprisonnement et 300 000 euros d’amende pour le représentant (personne physique) du responsable de traitement (personne morale).

“Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l'article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.”

Article 226-17 du Code pénal.

Lorsqu’il y a une violation de données, il est obligatoire de la documenter en interne et lorsque celle-ci constitue un risque au regard de la vie privée des personnes concernées, une notification à la CNIL doit être effectuée, conformément à l’article 33 du RGPD.

Mais il faut également noter que la CNIL n’est pas la seule autorité susceptible de recevoir une telle notification : une notification à l’ANSSI est aussi exigée lorsque l’organisme est soumis à la loi de programmation militaire (LPM) et plus encore avec la prochaine directive NIS 2 - directive européenne nécessitant une transposition dans le droit interne des États-membres d’UE. En effet, si l’organisme est concerné par NIS 2, l’ANSSI devra l'aider et l’assister - par exemple en lui recommandant de contacter la CNIL, de faire un dépôt de plainte, etc. - et non le sanctionner.

Après notification à la CNIL, cette dernière estimera si le responsable de traitement s’est posé la question du risque sur les personnes : si le risque est élevé, des mesures lui seront conseillées, et de potentielles questions supplémentaires pourront lui être posées.

Attention, la déclaration d’une violation de données à la CNIL ne veut pas dire transmission au service de contrôle de la CNIL : il s’agit de 2 services différents. Néanmoins, si la violation est publique (par exemple suite à un scandale dans la presse), la CNIL ira contrôler le responsable de traitement, non pas suite à la déclaration de violation, mais suite au scandale public.

Enfin, il faut rappeler que la sécurité des données ne concerne pas que les données personnelles. Le DPO doit certes traiter les risques légaux, mais la gestion des menaces techniques - qui dépasse le champ des données personnelles - doit être traitée par le RSSI. Et avec NIS 2, il y a un élargissement du périmètre de sécurité qui va bien au-delà de l’article 32 du RGPD. Le RSSI et le DPO - et le DSI évidemment - doivent alors et plus que jamais travailler main dans la main.

Speakers :

• Floriane ALIXE, cheffe adjointe de la Division Réponse à la sous-direction Opérations de l’ANSSI
• Florent DELLA VALLE, chef du service de l’expertise technologique de la CNIL
• Joseph GRACEFFA, RSSI et président du CLUSIR Nord
• Benjamin MOUROT, avocat associé chez Bignon Lebray