#cyberdayinfo. Cybersécurité et réglementation : au-delà des discours, que faire concrètement ? Réponse en 5 étapes par Alexandre Dielh. Lawint

Il a malheureusement fallu attendre une impulsion européenne pour que le législateur accepte d’imposer des règles générales et transversales aux entreprises. C’est vrai que les Français ne sont pas friands de contraintes juridiques, c’est donc par le biais d’inspiration de type compliance, c’est-à-dire de type anglo-saxonne, que la cybersécurité est entrée dans le champs législatif.
 

• Cette logique de compliance dans la cybersécurité s’illustre parfaitement par l’apparition de textes européens : la Directive NIS et le RGPD.

Ces deux textes font peser sur les acteurs un ensemble de « mesures techniques et organisationnelles » afin notamment de « gérer les risques qui menacent la sécurité des réseaux et des systèmes » (article 14 directive NIS), de « garantir les droits et libertés de la personne concernée » (article 5 RGPD) ou encore de « garantir un niveau de sécurité adapté au risque (…) et assurer la sécurité du traitement » (article 32 RGPD). Ne pas respecter ces obligations entraine des amendes et parfois, des peines de prison.

Désormais toutes les entreprises, y compris les plus petites et les plus éloignées de l’informatique, ont une obligation de sécurité informatique. Même un boulanger, une boite de BTP ou encore un club de foot doivent désormais veiller à leur sécurité informatique. Au titre du RGPD et de la loi du 6 janvier 1978, la violation de ce principe directeur est sanctionnée par des amendes pouvant aller jusqu’à 20M€ et aussi des peines de prison allant jusqu’à 5 ans.

• Concrètement, la CNIL et l’ANSSI ont mis en ligne des documents, notamment le guide de la sécurité des données personnelles de la CNIL, ou les préconisations de l’ANSSI, notamment son guide d’hygiène informatique ou encore son guide des bonnes pratiques de l’informatique.

En cas de contrôle, c’est la conformité à ces référentiels qui est contrôlée.

Plus spécifiquement, concernant les Opérateurs de Services Essentiels (OSE) et les fournisseurs de services numériques désignés NIS, ceux-ci sont tenus au respect de mesures de sécurité appropriées. Pour les OSE, ces mesures sont déterminées par l’arrêté du 14 septembre 2018 qui vise de nombreux principes de sécurité.

• Concrètement, c’est cet arrêté qu’il faut respecter. L’ANSSI contrôlera ainsi la conformité à ce texte.

Les normes, les « best pratiques », les recommandations de consultants restent très intéressants à avoir, mais la loi, la sanction, ce qui peut faire mal, c’est uniquement ces référentiels qui sont et restent les documents à interpréter et mettre en place avant tout le reste. Et l’on remarquera que ces référentiels requièrent principalement des actions et des documents écrits…

• Tout le monde doit être sensibilisé aux thématiques de sécurité et de menaces externes désormais.

Cette obligation de « formation » à la sécurité des personnes touchant aux données personnelles est prévue par la loi. Et les fameux référentiels de sécurité de la CNIL et de l’ANSSI étendent cette obligation aux dirigeants et personnes pouvant être amenées à traiter des données personnelles, c’est-à-dire tout le monde dans la société.

•  Concrètement, il faut donc sensibiliser tout son personnel et garder la trace de cette sensibilisation.

Pour ce qui concerne plus spécifiquement la DSI / DOSI, les principes de privacy by design sont désormais obligatoires et sanctionnés par une amende. Ainsi, au moment de la rédaction du cahier des charges, il est important de documenter la prise en compte des principes du RGPD et de mettre en œuvre des mesures techniques et organisationnelles conformes. Ces mesures doivent être conçues pour être robustes et capables de s’adapter à l’évolution du risque et par conséquent prendre en compte « l’état de l’art ».

•  Concrètement, il faut donc rédiger et maintenir une procédure (un document écrit donc) de privacy by design.

Toute relation, quelle qu’elle soit, doit être encadrée par un contrat. Par exemple, quand on est embauché par une entreprise, on a un contrat qu’on lit et parfois qu’on négocie. Il faut faire pareil pour chaque relation, chaque partenaire, chaque fournisseur. Pire, désormais, les contrats avec les « sous-traitants » (prestataires qui traitent des données personnelles) doivent avoir un certain nombre de clauses, à peine d’amendes.

Ainsi, lorsqu'un traitement doit être effectué pour le compte d'un responsable de traitement, le RGPD dispose que celui-ci doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à garantir la protection des droits de la personne concernée. Pour ce faire, il est impératif de prévoir dans ses contrats avec ses sous-traitants (ou avenants) une clause spécifique imposant entre autres au sous-traitant la mise en place d’une série de mesures techniques et organisationnelles de sécurité adéquates.

• Concrètement, une relation ne peut commencer qu’avec un contrat signé comprenant les clauses adéquates. Chacun est concerné par cet aspect : en plus des juristes, les achats, les opérationnels, la DG, la DSI, le RSSI et même la comptabilité… D’ailleurs, en cas de contrôle, la CNIL demande souvent un ou deux contrats signés, preuve de l’importance de ce principe.

Quand on suit les normes, on pratique souvent les audits. C’est même un passe-temps favori de tout praticien des normes. Mais désormais, faire un audit de sécurité / respect de la loi par sa société ou des partenaires est devenu une obligation légale.

Tant le RGPD que la directive NIS imposent aux entités qui y sont soumises la mise en place de procédures visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles mises en place (article 32 RGPD, article 15 et 16 de la directive NIS). Par ailleurs, parce que le RGPD instaure une coresponsabilité entre un responsable de traitement et son partenaire (qu’il soit « sous-traitant » ou coresponsable de traitement), il est nécessaire de procéder à des audits réguliers de ses partenaires. Ne pas le faire est sanctionné par une amende.

• Concrètement, la mise en place effective de ces audits nécessite la rédaction de clauses spécifiques à insérer dans chaque contrat, une procédure d’audit des partenaires (un document écrit donc) et le fait de mener concrètement l’audit avec, à la clé, un rapport d’audit (un document écrit donc).

L’obligation de notifier aux autorités de contrôle compétentes les incidents et failles de sécurité est commune au RGPD (article 33) et à la directive NIS (articles 14,16 et 20 de la directive NIS).

 

Concrètement, la mise en place d’une procédure de notification aux autorités compétentes (un document écrit donc) est fortement recommandée. Une telle procédure permet de déterminer quels sont les gestes à suivre pour constater et cantonner la faille, mettre en œuvre un plan d’action approprié, procéder à la notification auprès des autorités compétentes (CNIL, ARS, ANSSI …) et assurer la continuité de l’activité.

 

Lawint est un cabinet d’avocats d’affaires résolument orienté vers le monde des nouvelles technologies et de la création. Lawint assiste ses clients dans la définition et réalisation de projets, la résolution de différends et dans la rédaction et négociation de contrats et ce, en nouvelles technologies mais également en propriété intellectuelle, données personnelles, droit des affaires, opérations capitalistiques , fusion-acquisition et structuring fiscaux dédiés à l’IT.