Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 312

renvoyer à des problématiques
récurrentes rencontrées lors
de la contractualisation des
aspects « cybersécurité ».
Cet enjeu est d'autant plus
important que lorsque l'on
analyse les sanctions des autorités de protection des données,
avant ou après l'entrée en
application du RGPD1, il apparaît
que celles-ci sont bien souvent
dues à un manque de sécurité ou
à un manque de vérification chez
le sous-traitant. Un manquement aux articles 28 ou 32 est
passible d'une amende pouvant
aller jusqu'à 10 millions euros ou
2% du chiffre d'affaires global de
l'entreprise.

DOIS-JE APPLIQUER
LES MÊMES RÈGLES
LORS D'UN PROOF
OF CONCEPT VERSUS
PROJET CLASSIQUE ?
L'objectif d'un Proof of Concept
(POC) est d'évaluer la faisabilité d'une idée à une échelle
raisonnable, voire minime.
Avant même d'entrer dans
la phase contractuelle, les
questions les plus souvent
posées sont : « pourquoi dois-je
implémenter autant de mesures
de sécurité alors que je ne suis
pas sûr de continuer ? », « Je
souhaite travailler avec une
petite start-up qui n'a pas
nécessairement les ressources
pour mettre en place les
mesures exigées par ses clients,
comment faire ? »
Se limiter à un POC ne doit
cependant
pas
signifier
diminuer le niveau de sécurité
attendu. Comme tout projet,
même pour une courte durée,
il faut accepter de se soumettre
aux mesures de sécurité
requises par les équipes concernées. En cas de totale impossibilité à répondre au niveau
de
sécurité
légitimement
attendu, les équipes sécurité
doivent effectuer une analyse
de risques pour en définir les

312

mesures de mitigation et les
risques résiduels.
Les risques d'un POC insuffisam
ment sécurisé sont nombreux.
Une simple interconnexion
avec les systèmes de l'entreprise responsable de traitement
pourrait
avoir
des
conséquences dramatiques si
les systèmes de sous-traitants
sont attaqués.
De même, contractualiser
avec un fournisseur pour la
réalisation d'un POC ne doit
pas non plus signifier qu'il faut
être moins exigent vis-à-vis
de ce fournisseur. Les points
sécurité à se poser sont les
mêmes que ce soit un essai sur
6 mois ou un projet sur 3 ans.
Peut-être que le responsable de
traitement pourra se trouver
plus souple dans la quantité de
points à creuser au cours de la
négociation, mais en aucune
manière, il ne devra délaisser
les points clés d'une bonne
sécurité des données.
Enfin, il convient de tenir
compte du fait que si des
dérogations
peuvent
être
accordées pour un POC, ces
dernières pourraient servir de
jurisprudence interne. Aussi, il
faudrait bien spécifier que ces
dérogations sont prises compte
tenu des risques et dans le
contexte unique du POC. En
cas de passage à un projet
plus global, le responsable de
traitement devra réévaluer
ces risques, et donc sûrement
exiger des mesures de sécurité supplémentaires ou plus
renforcées.

LA LOI IMPOSE-T-ELLE
LE CHIFFREMENT DE
TOUTES LES DONNÉES
PERSONNELLES ?
Cette question est probablement à la fois l'une des plus
récurrentes mais aussi l'une
des
plus
intéressantes
à
résoudre, tout d'abord parce
EXPERTISES Septembre 2020

que la réponse sera systématiquement : « non la loi ne
l'impose pas ». Il est certain
qu'en débutant le paragraphe de
l'article 32 du RGPD par « entre
autre », le législateur a souhaité,
mettre en avant le chiffrement,
mais sans le rendre obligatoire
dans tous les cas.
De cette ligne, il faut commencer à creuser un peu plus
et comprendre ce qui en
réalité se cache derrière le
terme « chiffrement ». Sans
rentrer
dans
l'explication
d'Alice et Bob disponible sur
le site de la Cnil2, il est intéressant de comprendre l'utilité du
chiffrement. Le chiffrement
est utilisé pour protéger la
confidentialité des données,
selon soit la technique du
chiffrement symétrique (une
seule clé secrète pour chiffrer
et déchiffrer) ou un chiffrement asymétrique (une clé
publique pour chiffrer et une
clé privée pour déchiffrer).
En reprenant les basiques
de la sécurité informatique
et notamment le triptyque
Confidentialité, Intégrité, Disponibilité, le a) de l'article 32 parle
en réalité de mesures permettant de garantir la confidentialité
des données. L'équipe sécurité
entre alors en jeu afin d'analyser
si le chiffrement ne peut pas être
mis en œuvre, quelles mesures
de sécurité peuvent être mises
en œuvre pour protéger la
confidentialité des données
personnelles, et ce compte tenu
du contexte.
En deuxième lieu, il convient
de
s'interroger
sur
le
terme « chiffrement » et ce qu'il
couvre. Derrière ce terme se
cache en effet une multitude
d'étapes dans le traitement
des données personnelles. Il
faut donc couvrir toutes les
étapes de transfert sécurisé des
données et de stockage sécurisé
(serveur principal et serveur de
sauvegarde).

Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia