La cybersécurité est au coeur du RGPD. L’objectif principal du texte est d’organiser la protection des données personnelles des résidents européens. Or celles-ci étant le plus souvent (mais pas seulement) stockées de façon digitalisées, leur protection passe par la sécurisation de leur collecte, de leur transmission et de leur conservation.
Autrement dit, des mesures de cybersécurité doivent être prises adoptées à toutes les étapes du parcours de la donnée dans l’entreprise. Ces protections sont donc fondamentales pour la conformité des entreprises.
Le RGPD ne donne pas d’indication précise quant aux technologies de cybersécurité à utiliser. En effet, celles-ci évoluent très rapidement, notamment pour contrer l’inventivité d’acteurs malveillants cherchant à accéder aux données personnelles.
Il est donc logique que le texte laisse une certaine liberté aux entreprises pour s’adapter aux technologies les plus récentes et les plus pertinentes en fonction de la situation précise. Néanmoins, on peut tout de même dégager quelques grands principes de cybersécurité nécessaires à adopter dans le cadre du RGPD.
Pseudonymisation et anonymisation de la donnée
La pseudonymisation et l’anonymisation des données sont deux techniques à ne pas confondre mais qui ont toutes deux le même objectif. Elles rendent impossible d’identifier une personne physique à partir d’un jeu de données personnelles la concernant.
L’idée est donc qu’en cas de faille de sécurité et de fuite de données, celles-ci ne pourront être utilisées pour attenter à la vie privée des personnes concernées.
La pseudonymisation vise à remplacer les données directement identifiantes (comme le nom) par des données non-identifiantes (séquence chiffrée, par exemple).
L’anonymisation est un ensemble de techniques un peu différentes et offrant un niveau de sécurité plus élevé. Sans entrer dans le détail du fonctionnement de l’anonymisation, précisons que celle-ci est irréversible et qu’elle conduit à modifier ou supprimer certaines données. Il faut donc trouver le bon équilibre entre impératif de sécurité et conservation de données utilisables pour remplir leurs finalités.
A noter que ni la pseudonymisation ni l’anonymisation ne sont des mesures obligatoires dans le RGPD. Cependant elles peuvent être recommandées dans certains cas comme mesures de sécurité parmi d’autres.
Chiffrement des données et cybersécurité
Il ne s’agit pas ici d’entrer dans les détails de fonctionnement des différentes techniques de chiffrement des données (asymétrique ou symétrique, par exemple).
Simplement, il faut comprendre que le chiffrement des données poursuit un objectif similaire à l’anonymisation et à la pseudonymisation dont on vient de parler : en cas de fuite de données, il rend la lecture des informations impossible pour les personnes ne disposant pas des bonnes clés de chiffrement.
Une fois encore, la logique est de protéger l’intégrité des informations contenues dans le jeu de données, même si celui-ci tombe entre de mauvaises mains.
Limiter les accès aux données
Une autre stratégie simple de cybersécurité repose sur le constat que la majorité des fuites de données sont réalisées à la suite d’erreurs humaines. Plus généralement, une faille de sécurité a forcément lieu à un endroit précis de l’architecture informatique de l’entreprise.
Une bonne protection contre les fuites de données est donc d’isoler le jeu de données du reste de cette architecture, par exemple au moyen du chiffrement, justement. En d’autres termes, seules les personnes ayant véritablement besoin d’accéder à la donnée (pour l’analyser, par exemple), pourront y avoir accès.
L’idée est justement de limiter le nombre de personnes disposant de la bonne clé de chiffrement, par exemple. Cette méthode d’amélioration de la cybersécurité suppose de disposer d’une bonne cartographie des différentes opérations de traitement des données et une bonne connaissance des personnes qui doivent y avoir accès.
Le rôle du DPO, qui doit tenir le registre des traitements, est alors renforcé. Il devient également essentiel de l’intégrer aux projets opérationnels de l’entreprise, pour qu’il puisse arbitrer entre l’impératif de cybersécurité et celui de performance de l’entreprise.
Les 12 conseils de base de cybersécurité
L’ANSSI et la CPME publient un guide à destination des petites et moyennes entreprises pour les aider dans leurs travaux de cybersécurité en lien avec le RGPD. Les deux institutions dégagent 12 conseils de base à appliquer dans toutes les entreprises pour améliorer la sécurisation des données et la protection de la vie privée des utilisateurs.
Cette liste en 12 points suppose, pour être appliquée, d’être diffusée dans l’entreprise. Le rôle du DPO, en lien avec la DSI de l’entreprise, intègre une dimension de sensibilisation et de formation des collaborateurs.
Ces opérations de sensibilisation peuvent porter sur l’amélioration du niveau de sécurité des mots de passe utilisés par les collaborateurs, ou encore des tests et exercices visant à améliorer la méfiance vis-à-vis des tentatives de phishing.
On le voit, la cybersécurité est en réalité un ensemble de mesures parmi lesquelles le DPO doit pouvoir venir piocher en fonction du niveau de sensibilité de la donnée concernée et plus généralement en fonction de l’analyse des risques qu’il aura précédemment menée.
Ces mesures reposent à la fois sur des solutions purement techniques comme le chiffrement des données par exemple, mais également sur la dimension humaine avec l’amélioration générale de l’hygiène informatique de l’entreprise et du comportement des collaborateurs vis-à-vis de situations à risque.
