Sécurité informatique
Objectifs et exigences
La sécurité informatique ou sécurité des systèmes d’information (SSI) vise à mobiliser un ensemble de moyens technologiques, organisationnels, humains et juridiques afin de préserver l’ensemble du système d’information de l’entreprise contre toute forme de sinistre. Le périmètre de l’entreprise à préserver peut être divisé en deux actifs majeurs. Les serveurs, les logiciels, les dispositifs mobiles, les caméras de surveillance, le réseau informatique, les bâtiments et également les ressources humaines représentent entre autres les actifs physiques. Les données, véritable patrimoine intellectuel et historique de l’entreprise, constituent en revanche les actifs numériques ou les actifs immatériels.
Si la valeur et l’importance intrinsèques des données ne sont plus à démontrer de nos jours, cet actif n’apparaît néanmoins jamais sur un bilan comptable. Il convient donc de rappeler qu’une entreprise dépourvue de ses données n’est ni plus ni moins qu’une coquille vide. Les exigences en matière de sécurité du système d’information, visant à garantir la disponibilité et la résilience des données en réponse aux sinistres, restent immenses. Cette activité à part entière repose sur la norme non contraignante ISO/IEC 13335-1:2004 traitant des systèmes de gestion du système d’information (SMSI).
1. Les facteurs critiques d’un SMSI
Le fil rouge du SMSI, en matière de sécurité informatique, repose sur trois facteurs distincts, visant à garantir simultanément les objectifs de sécurité suivants :
-
la confidentialité en limitant l’accessibilité des données au personnel strictement autorisé. La mise en place de processus d’authentification forte permet par exemple d’attester de l’identité physique de la personne ;
-
l’intégrité des données contre toute altération, corruption ou perte accidentelle ou non dans le temps. À des fins de conformité légale, la signature digitale...
Règlement général sur la protection des données (RGPD)
Le RGPD (UE) 2016/679, voté par le Parlement européen en avril 2016, est entré officiellement en vigueur le 25 mai 2018. Sa spécificité majeure réside notamment dans l’article 3 lui conférant un champ d’application extraterritorial. Cette réglementation implique une égalité de traitement des données pour l’ensemble des pays de l’Union européenne et introduit une notion de responsable du traitement.
Le responsable du traitement désigne une personne physique ou morale, une autorité publique, un organisme public ou une entreprise du secteur privé déterminant seul ou conjointement les finalités et les moyens du traitement des données.
Les obligations légales visent ainsi non seulement le responsable du traitement, mais également l’ensemble des sous-traitants impliqués dans la chaîne de traitement des données, avec qui il partage ou confie des données à caractère personnel. Un chapitre entier ne suffit pas à traiter du RGPD dans son ensemble, seules les implications relatives aux objectifs et exigences de sécurité sont détaillées. En effet, d’autres mesures phares du RGPD, telles que la finalité et la licéité du traitement des données, ainsi que la collecte des données au strict nécessaire au regard des finalités du traitement, ne sont pas traitées dans ce chapitre.
1. Objectifs du RGPD
Les trois objectifs principaux du RGPD consistent à :
-
renforcer le droit des personnes vis-à-vis de leurs DCP ;
-
responsabiliser les différents acteurs de la chaîne de traitement des DCP ;
-
homogénéiser la législation et la réglementation en vigueur au sein des pays de l’Union européenne en termes de traitement des DCP.
Le RGPD vient en effet abroger la précédente directive non contraignante 95/46/CE. Elle comble ainsi les différences de niveau de protection des données résultant de divergences en termes de mise en œuvre et d’application de cette même directive, au sein des différents pays de l’Union...
Clarifying Lawful Overseas Use of Data Act (CLOUD Act)
Le CLOUD Act est une loi votée par le Congrès américain afin de faciliter l’administration américaine dans l’obtention de données stockées hors des États-Unis, ou même en transit, sans avoir à en informer la personne concernée.
1. Application extraterritoriale de la loi
Le CLOUD Act, véritable perquisition numérique, impose à toute entreprise américaine la fourniture d’un accès aux données, indépendamment de leur lieu d’hébergement géographique, et sans nécessité de recourir à une entraide judiciaire de la part du pays concerné. Si cette requête reste bornée dans le cadre exclusif d’une procédure judiciaire, elle constitue néanmoins une véritable ingérence de la part des États-Unis au niveau du droit des États.
Le champ d’application extraterritorial du CLOUD Act induit un risque majeur en termes de confidentialité de transfert et de stockage des données.
2. Une loi inconciliable avec le RGPD
Le CLOUD Act, ratifié le 23 mars 2018, vient donc à l’encontre des principes même énoncés dans l’article 44 du RGPD, entré en vigueur environ deux mois plus tard. Par ailleurs, l’article 48 évoque...
Gestion des risques liés à la confidentialité
La CJUE laisse ainsi des portes ouvertes en matière de transfert des données vers les États-Unis ou un pays tiers, ou toute entreprise de droit américain telle que les géants du numérique. Un pays tiers désigne ici l’ensemble des pays situés hors de l’UE.
1. Traitement des données sensibles
L’hébergement ou le transfert de DCP ou de données « dites sensibles », vers un responsable du traitement situé en dehors de l’UE présente un risque majeur qu’il convient d’analyser.
On note que les données sensibles constituent une catégorie particulière de DCP.
Ainsi, les origines raciales ou ethniques, les opinions politiques, les convictions religieuses ou philosophiques, les appartenances syndicales, les orientations sexuelles, les données génétiques ou encore les données biométriques d’une personne physique sont désignées comme données sensibles, conformément à l’article 9. Le traitement de ces données est à la base interdit sauf exceptions décrites au paragraphe 2.
Dans ce cas précis, l’article 35 du RGPD rappelle les devoirs préalables du responsable du traitement des données sensibles. Ainsi, il convient de réaliser une analyse d’impact relative à la protection des données (Data Protection Impact Assessment ou Private Impact Analysis - PIA) quand la divulgation de ces données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, conformément à l’article 89.
La migration ou le transfert de données à destination d’un pays tiers, tel que les États-Unis, motivée par des raisons techniques ou économiques pour l’entreprise, traduit implicitement une stratégie de transfert du risque.
La promulgation du CLOUD Act et les différentes tribulations juridiques relatives aux deux précédents traités transatlantiques induisent un risque légal supplémentaire. Par ailleurs, sur fond de guerre numérique entre les différents États...