Conformité IT : RGPD et réglementations

·

La conformité en technologie de l'information est la discipline qui garantit que les systèmes d'une organisation respectent l'ensemble des normes légales, sectorielles et contractuelles qui leur sont applicables. Ce n'est pas une formalité documentaire : c'est la traduction d'obligations juridiques en contrôles techniques concrets — chiffrement, journaux d'accès, politiques de conservation — que l'on peut démontrer devant une autorité de contrôle. En matière de données personnelles, cette exigence porte un nom précis : le RGPD, appellation en français du Règlement Général sur la Protection des Données, qui est exactement le même texte que l'anglosaxon GDPR (General Data Protection Regulation).

Il convient de dissiper une confusion fréquente : GDPR et RGPD ne sont pas deux normes distinctes, mais le même Règlement (UE) 2016/679 désigné en anglais et en français. En Europe, chaque État membre peut adopter des dispositions nationales qui le complètent, comme la loi française « Informatique et Libertés » (modifiée en 2018 pour aligner sa transposition), qui précise notamment les droits numériques dans le cadre du travail.

Principes du RGPD que le système doit incarner

L'article 5 du Règlement fixe six principes qui cessent d'être théoriques dès lors que l'on conçoit un système. La minimisation oblige à ne collecter que les données nécessaires : une base de données qui stocke le numéro d'identification « au cas où » est déjà en infraction. La limitation des finalités interdit de réutiliser des données collectées à une fin pour une autre sans nouvelle base légale. La limitation de la durée de conservation exige d'effacer ou d'anonymiser lorsque la donnée n'est plus nécessaire, ce qui se traduit par des politiques de conservation automatisées. Et l'intégrité et la confidentialité imposent une sécurité technique appropriée. L'article 25 ajoute la protection des données dès la conception et par défaut : la vie privée ne s'ajoute pas en fin de projet, elle s'intègre depuis l'architecture.

La protection dès la conception dans la pratique technique

Appliquer la « conception intégrée » à l'ingénierie réelle se traduit par des décisions concrètes. La pseudonymisation sépare les identifiants directs des données de comportement, de sorte qu'une fuite partielle ne réidentifie pas les personnes. L'anonymisation effective — irréversible, et non un simple effacement de la colonne du nom — sort la donnée du champ d'application du Règlement. Le chiffrement au repos et en transit avec une gestion adéquate des clés protège contre les accès non autorisés. Et le contrôle d'accès fondé sur les rôles (RBAC) avec le principe du moindre privilège garantit que chaque personne ne voit que ce que sa fonction requiert, en laissant un enregistrement auditable de chaque accès.

La distinction entre pseudonymisation et anonymisation est plus que terminologique et est souvent confondue. Une donnée pseudonymisée reste une donnée personnelle au sens du RGPD, car il existe une clé permettant de réidentifier le titulaire ; elle est seulement protégée contre ceux qui ne possèdent pas cette clé. Une donnée véritablement anonymisée, en revanche, ne permet plus la réidentification par aucun moyen raisonnable et sort du champ d'application du Règlement. La conséquence pratique est importante : de nombreuses organisations croient avoir anonymisé alors qu'elles n'ont en réalité que pseudonymisé, et restent soumises à toutes les obligations. L'anonymisation robuste exige des techniques telles que la généralisation, la suppression des quasi-identifiants ou la confidentialité différentielle, et doit résister aux tentatives de réidentification par croisement avec d'autres sources — le risque qu'un code postal, une date de naissance et un sexe identifient une personne concrète est réel et documenté.

Audit des systèmes et cadres de référence

Un audit de conformité IT confronte l'état réel des systèmes à un cadre de contrôle reconnu. Le plus répandu pour la sécurité de l'information est ISO/IEC 27001, qui définit un système de management de la sécurité de l'information (SMSI) certifiable et, dans son annexe de contrôles, des pratiques concrètes. Pour la vie privée spécifiquement, il existe l'extension ISO/IEC 27701, qui ajoute les contrôles d'un système de management des informations de confidentialité (PIMS). Dans les environnements cloud, des cadres tels que le CIS Benchmark et la Cloud Controls Matrix déclinent les contrôles en configurations vérifiables. L'audit produit des preuves : captures de configuration, extraits de journaux, matrices de rôles et registres de traitement.

L'intérêt de s'appuyer sur ces cadres est qu'ils transforment des obligations juridiques abstraites en contrôles vérifiables et répétables. Le RGPD exige des « mesures techniques et organisationnelles appropriées », une formule délibérément ouverte ; l'ISO 27001 traduit cette exigence en contrôles concrets sur la gestion des accès, le chiffrement, les sauvegardes, la gestion des incidents et la continuité d'activité, chacun avec sa preuve associée. Lorsqu'arrive une inspection ou un audit client, l'organisation n'improvise pas : elle présente l'inventaire des contrôles, leur état de mise en œuvre et les preuves qu'ils fonctionnent. C'est la différence entre affirmer que l'on est conforme et le démontrer. L'audit doit être, de surcroît, récurrent : un contrôle qui fonctionnait il y a un an peut avoir été désactivé lors d'une migration, et seule une révision périodique le détecte avant qu'il ne devienne une faille.

Étapes d'un programme de conformité IT

  1. Inventorier les traitements. Élaborer et tenir à jour le registre des activités de traitement de l'article 30, base de tout le reste : quelles données, à quelle fin, où elles sont stockées et à qui elles sont transmises.
  2. Déterminer la base légale. Chaque traitement requiert l'une des six bases de l'article 6 (consentement, contrat, obligation légale, intérêt vital, mission d'intérêt public ou intérêt légitime).
  3. Évaluer le risque. Lorsque le traitement présente un risque élevé, réaliser une Analyse d'Impact relative à la Protection des Données (AIPD/DPIA) conformément à l'article 35.
  4. Mettre en place les contrôles techniques. Chiffrement, RBAC, journaux d'audit, sauvegardes chiffrées et politiques de conservation automatisées.
  5. Préparer la réponse aux violations. Définir la procédure de notification à l'autorité de contrôle dans les 72 heures (article 33) et aux personnes concernées lorsque cela s'impose (article 34).
  6. Désigner un DPO si applicable. Le délégué à la protection des données est obligatoire pour certains traitements (article 37) et recommandé dans de nombreux autres cas.

Erreurs fréquentes

L'erreur la plus récurrente est de confondre la possession de documentation avec la conformité : une politique de confidentialité irréprochable sur le site web ne sert à rien si le système continue de conserver des données pendant dix ans sans base légale. La deuxième erreur est de traiter le consentement comme un fourre-tout, alors qu'il est souvent la base légale la plus fragile et la plus révocable ; le contrat ou l'intérêt légitime sont bien souvent plus solides et appropriés. La troisième est d'ignorer les sous-traitants : chaque fournisseur cloud ou SaaS qui traite des données pour le compte de l'organisation requiert un contrat de l'article 28 et, s'il est situé hors de l'Espace Économique Européen, des garanties de transfert international. La quatrième erreur, très fréquente, est de découvrir la procédure de notification de violation le jour où celle-ci survient, avec le compte à rebours des 72 heures déjà enclenché.

Comparatif des cadres applicables

Cadre / normePérimètreCaractèreCertifiable
RGPD / GDPR (UE 2016/679)Données personnellesObligatoireNon (c'est une loi)
Loi Informatique et Libertés (FR)Données personnelles en FranceObligatoireNon (c'est une loi)
ISO/IEC 27001Sécurité de l'informationVolontaireOui
ISO/IEC 27701Management de la confidentialité (PIMS)VolontaireOui (extension de 27001)

Foire aux questions

GDPR et RGPD sont-ils des normes différentes ? Non. Ce sont le même Règlement (UE) 2016/679 : GDPR est son nom en anglais et RGPD en français. Une entreprise qui est conforme à l'un l'est par définition à l'autre.

À combien peut s'élever une sanction de la CNIL ? Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial du groupe, le montant le plus élevé étant retenu, pour les infractions les plus graves. Les sanctions réelles sont graduées en fonction de la gravité, de l'intentionnalité et des mesures adoptées.

Toutes les entreprises ont-elles besoin d'un DPO ? Non. La désignation est obligatoire pour les autorités publiques et pour ceux qui effectuent un suivi à grande échelle ou traitent des catégories particulières de données à grande échelle. En dehors de ces cas, sa désignation est volontaire, bien que souvent recommandée.

La certification ISO 27001 garantit-elle la conformité au RGPD ? Pas automatiquement. L'ISO 27001 apporte une base de sécurité solide et démontre la diligence, mais la conformité au RGPD requiert en outre des contrôles spécifiques de confidentialité que couvre mieux l'ISO 27701.

Quel est le délai pour notifier une violation de données ? L'article 33 du RGPD fixe un maximum de 72 heures à compter du moment où le responsable a connaissance de la violation pour la notifier à l'autorité de contrôle, sauf s'il est improbable qu'elle engendre un risque pour les droits des personnes. Si le risque est élevé, l'article 34 oblige en outre à communiquer la violation aux personnes concernées sans délai injustifié. Avoir la procédure rodée à l'avance — qui décide, ce qui est documenté, comment contacter l'autorité — est ce qui permet de respecter ce délai sous la pression réelle d'un incident.

Le RGPD s'applique-t-il à une entreprise hors de l'Union européenne ? Oui, lorsqu'elle offre des biens ou des services à des personnes dans l'UE ou surveille leur comportement, selon le principe d'extraterritorialité de l'article 3. La localisation des serveurs n'exonère pas : ce qui est déterminant, c'est à qui les données sont destinées.

Chez Summum Sistemas, nous abordons la conformité IT comme de l'ingénierie avec un appui juridique, et non comme de la paperasserie défensive. Le RGPD ne sanctionne pas le fait de subir un incident, mais celui de ne pas avoir mis en place les mesures raisonnables qui l'auraient prévenu ou contenu. C'est là la clé pratique : un programme bien construit transforme chaque obligation légale en un contrôle technique vérifiable — un journal que l'on peut produire, une politique de conservation qui s'exécute automatiquement, un contrat de sous-traitance signé avec chaque fournisseur — de sorte que, le jour d'un audit ou d'une violation, l'organisation puisse démontrer sa diligence avec des preuves et non avec de bonnes intentions. Être conforme, ce n'est pas avoir les documents ; c'est pouvoir prouver que le système fait ce que les documents promettent.