Depuis le 25 mai 2018, la France applique le Règlement Général sur la Protection des Données (RGPD), une directive européenne entrée en vigueur le 6 mai 2016. Six ans après, le RGPD est renforcé par la directive NIS 2 (Network and Information Security), qui prescrit les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union et doit être appliquée au plus tard en octobre 2024. Quel sera son impact pour le RGPD ?
Rappel sur le RGPD
Le RGPD, qui veille à protéger les données personnelles, concerne tous les organismes publics ou privés implantés dans l’Union européenne, ou/et dont l'activité implique des résidents européens. Le dispositif inclut également les sous-traitants exploitant les données pour le compte d’autres organismes.
Qu’est-ce qu’une donnée personnelle ? Selon la CNIL (Commission Nationale de l’Informatique et des Libertés), il s’agit de : “toute information se rapportant à une personne physique identifiée et identifiable”.
Une donnée personnelle peut ainsi identifier une personne directement (nom, prénom, etc.) ou indirectement (numéro client, taille, poids, produit consommé, etc.) et doit bénéficier d’un traitement hautement sécurisé, dès lors qu’elle est collectée. La notion de “traitement” concerne toutes les opérations de stockage ou de réutilisation des informations à des fins commerciales notamment (élaboration de fichiers clients, listes d’emails, facturation, diffusion ou transmission, etc.). Chaque donnée recueillie doit par ailleurs correspondre aux besoins de l’entreprise, qui ne peut requérir de datas considérées hors de son champ d’action.
Plus qu’un cadre juridique ou technique, le RGPD permet aux entreprises et aux professionnels de structurer leurs informations afin d’en optimiser l’utilisation. Pour les salariés, la nomination ou le recrutement d’un DPO (Délégué à la Protection des Données), forme ou rassure quant à la gestion de ces données et à leur exploitation à des fins commerciales. Pour les clients, le RGPD s’est imposé comme une marque de confiance incontestable, favorisant leur acquisition et leur fidélisation, alors que chaque utilisateur des services numériques est sensibilisé à la protection de ses données comme de son identité.
NIS 2, quel impact sur le RGPD ?
En 2016, le Parlement européen adoptait la directive NIS 1 (Network and Information Security), transposée en 2018 en France, pour adapter la cybersécurité des acteurs de 10 secteurs d'activité stratégiques aux nouvelles stratégies des cybercriminels. Le texte exigeait la déclaration des incidents de sécurité à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et la réduction des risques cybers.
Face à la recrudescence de cyberattaques (+ 30% en 2023 d’après l”ANSSI) et à la vulnérabilité des PME impactées (60 % déposent le bilan selon Le Monde Informatique), la directive NIS 2 doit mobiliser plus largement les États membres, ainsi que les acteurs économiques publics et privés dans la protection de leurs systèmes d’information.
Le dispositif qui doit être transposé en France avant le mois d’octobre 2024, classifie les secteurs suivants comme “hautement critiques” : énergie, transport, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, espace. Les autres “acteurs critiques” rassemblent : les services postaux et d’expédition, gestion des déchets, produits chimiques, denrées alimentaires, fabrication, fournisseurs numériques et la recherche.
Il concerne des milliers d’administrations et d’entreprises, allant de la PME aux multinationales, selon les critères définis par l’Union (nombre d’employés, chiffre d'affaires, secteur d’activité, etc.) qui devront appliquer les recommandations en matière de sécurisation des messagerie, d’antivirus, mots de passe, formation des salariés, etc.
L’ensemble de ces nouvelles mesures de cybersécurité concourt à un renforcement de la protection des données personnelles relevant du RGPD. Depuis 2009, Volutes Management accompagne les entreprises dans le déploiement de leurs systèmes d’information et s’impose comme l’un des pionniers du RGPD en France.
Vous avez une question ? Contactez-nous : contact@volutesmanagement.fr
Emilie Mondon
Directrice générale
Comments