Nouveau
Découvrez notre nouvelle page de  fonctionnalités

RGPD et cybersécurité : un guide pour les PME

Le Règlement général sur la protection des données (RGPD) est une loi européenne qui encadre la manière dont les organisations gèrent les données personnelles des personnes en Europe. Il consacre la protection des données comme un droit fondamental en Europe et s’applique dans tout l’Espace économique européen. Une violation de données ou une mauvaise gestion des données clients peut entraîner une amende. Dans cet article, nous expliquons ce qu’est le RGPD, pourquoi il compte pour la gestion du risque cyber et comment il impacte les PME et les ETI.

Les points à retenir :
  • Le RGPD n'est pas seulement une loi sur la vie privée , c'est une obligation de cybersécurité. Le règlement exige que vous appliquiez des mesures de sécurité adaptées au risque : chiffrement, contrôles d'accès, authentification multifacteur, sauvegardes testées. Une violation de données déclenchée par une attaque de phishing ou un système mal configuré est une violation du RGPD, pas seulement un incident informatique.
  • Vous n'avez pas besoin d'une violation de données pour être sanctionné. Une seule plainte client, quelqu'un qui continue de recevoir des communications marketing après avoir demandé à en être retiré, ou un ancien employé dont les données n'ont pas été supprimées — suffit à déclencher une enquête. C'est la documentation de vos décisions et processus qui détermine comment cette enquête se conclut.
  • Le RGPD est l'une des nombreuses réglementations auxquelles vous êtes soumis, mais un programme de cybersécurité basé sur les risques les couvre toutes. NIS2, DORA et les règles sectorielles spécifiques recoupent substantiellement les exigences du RGPD. Un programme construit autour de la compréhension et de la gestion de votre risque cyber réel, plutôt que sur le simple cochage de cases de conformité, satisfait plusieurs cadres réglementaires sans avoir à tout reconstruire pour chacun d'eux.
Explorez davantage avec l'IA :
Claude
Perplexity
ChatGPT

Qu’est-ce que le RGPD et quand s’applique-t-il à votre entreprise

Le Règlement général sur la protection des données a été adopté par l’Union européenne en 2016 et est entré en application en 2018. Il a remplacé une mosaïque de lois nationales par un cadre unique applicable dans l’UE et l’Espace économique européen. Chaque État membre dispose de sa propre autorité de protection des données chargée d’appliquer le RGPD sur son territoire, le Comité européen de la protection des données coordonnant les décisions entre pays.

Le RGPD s’applique à vous si :

  • Vous ou votre entreprise êtes établis dans l’UE et traitez des données personnelles, quel que soit le lieu où ce traitement a lieu
  • Vous ou votre entreprise êtes établis en dehors de l’UE, mais vous proposez des biens ou services à des personnes dans l’UE, ou surveillez leur comportement

Qu’est-ce qu’une donnée personnelle ?

Selon le RGPD, une donnée personnelle est toute information se rapportant à une personne identifiée ou identifiable. Cela inclut :

  • Nom et adresse
  • Numéro de carte d’identité ou de passeport
  • Adresse email et adresse IP
  • Revenus et informations financières
  • Données de localisation et identifiants en ligne
  • Données de santé et dossiers médicaux

Certaines catégories de données personnelles sont soumises à des règles plus strictes et ne peuvent être traitées sans base légale spécifique. Il s’agit notamment des données de santé, des données biométriques, de l’origine raciale ou ethnique, des convictions religieuses, des opinions politiques et de l’appartenance syndicale.

Qu’est-ce qu’un responsable de traitement et un sous-traitant ?

Le RGPD définit deux rôles importants. Savoir lequel vous tenez est essentiel, car chacun porte des obligations différentes.

Un responsable de traitement décide pourquoi des données personnelles sont collectées et comment elles seront utilisées. Si vous exploitez une boutique en ligne et collectez les adresses email de vos clients pour envoyer des confirmations de commande et des messages marketing, vous êtes le responsable de traitement de ces données. Vous décidez de la finalité, de la durée de conservation et des personnes pouvant y accéder.

Un sous-traitant traite des données personnelles pour le compte d’un responsable de traitement et selon ses instructions. Votre plateforme d’email marketing, votre hébergeur cloud, votre prestataire de paie et votre éditeur CRM sont tous des sous-traitants. Ils stockent et utilisent les données de vos clients ou collaborateurs, mais uniquement pour les finalités que vous avez définies au contrat.

La plupart des PME sont les deux à la fois. Vous êtes responsable de traitement pour les données personnelles de vos propres clients et collaborateurs, et sous-traitant lorsque vous traitez des données pour le compte d’un client (par exemple, une agence qui mène des campagnes pour une marque, ou un prestataire informatique qui gère les systèmes d’un client).

Les deux rôles portent des obligations directes au titre du RGPD. Les responsables de traitement doivent choisir des sous-traitants offrant des garanties de sécurité suffisantes et mettre en place des contrats écrits précisant ce que le sous-traitant peut et ne peut pas faire avec les données. Les sous-traitants doivent suivre ces instructions, sécuriser les données et notifier sans délai le responsable de traitement en cas de violation.

Quels droits ont les personnes concernées ?

Le RGPD confère à toute personne dont vous détenez les données un ensemble de droits que vous devez respecter :

  • Le droit de savoir quelles données vous détenez à leur sujet et pourquoi
  • Le droit d’accéder à une copie de leurs données
  • Le droit de rectifier des données inexactes
  • Le droit à l’effacement de leurs données
  • Le droit de s’opposer à la prospection directe
  • Le droit à la portabilité des données

En pratique, c’est sur ces droits que la plupart des PME rencontrent le RGPD au quotidien. Un client qui demande l’effacement de ses données, un ancien collaborateur qui demande une copie de son dossier, un prospect qui exige d’être retiré de votre liste de diffusion. Mal gérer l’une de ces demandes est l’un des déclencheurs les plus courants d’une plainte à l’autorité de protection des données. Et une plainte peut entraîner une amende sans qu’il y ait eu violation de données.

La gestion du risque cyber au cœur du RGPD

Le RGPD a été conçu pour protéger les données personnelles des citoyens de l’UE. Il vous impose d’appliquer des mesures de sécurité adaptées au risque, quelle que soit la cause d’une éventuelle violation : attaque de phishing, service cloud mal configuré ou erreur d’un collaborateur. Deux principes en particulier rendent ces obligations de sécurité explicites.

Protection des données dès la conception et par défaut

La protection des données dès la conception signifie que les exigences de protection de la vie privée sont intégrées à un système ou à un processus dès le départ, et non ajoutées après coup. Lorsque vous choisissez un nouveau CRM, lancez un portail client ou concevez un outil interne, les questions à se poser dès le début sont : de quelles données avons-nous réellement besoin, combien de temps les conserverons-nous, qui doit y avoir accès et comment les supprimerons-nous le moment venu.

La protection des données par défaut signifie que lorsqu’un système propose des choix en matière de vie privée, l’option la plus protectrice doit être le point de départ. Un nouveau profil sur un réseau social doit être privé par défaut, et non public. Un formulaire d’inscription doit laisser la case d’opt-in marketing décochée, et non pré-cochée. Pour partager davantage, l’utilisateur doit accomplir une action active, pas pour partager moins.

Ce principe a aussi remodelé le fonctionnement du consentement en ligne. La directive ePrivacy imposait déjà un consentement pour les cookies de suivi, mais le RGPD a relevé le niveau d’exigence d’un consentement valable : il doit s’agir d’une action claire et affirmative. C’est pourquoi les cases pré-cochées et les bandeaux “en poursuivant la navigation, vous acceptez” ont en grande partie disparu après 2018.

La documentation comme preuve de conformité

La tenue de registres est essentielle au titre du règlement. La documentation, les preuves de tests et les traces des décisions font partie intégrante du RGPD, et non d’une bonne pratique optionnelle. Elles vous permettent de démontrer aux autorités que vous agissez en conformité et respectez vos obligations, qu’il s’agisse d’une violation, d’une plainte ou d’un audit de routine.

Lorsqu’une plainte arrive à l’autorité de protection des données, c’est votre documentation qu’elle évalue en premier. Une entreprise capable de présenter des journaux de consentement, des registres de suppression et une traçabilité claire des réponses se trouve dans une situation très différente de celle qui ne le peut pas.

Un programme solide de gestion du risque cyber et une politique de cybersécurité documentée vous aideront à passer toute inspection de l’autorité de protection des données.

Vos obligations de cybersécurité au titre du RGPD

Le RGPD n’énumère pas les technologies que vous devez déployer. Il pose des principes et attend de vous que vous les traduisiez en mesures adaptées à votre entreprise.

Mesures techniques et organisationnelles

Le RGPD exige des “mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”. Cette formulation est volontairement non prescriptive : il n’existe pas de liste figée de contrôles que toute entreprise devrait déployer. Ce que le RGPD exige, c’est une stratégie. Vous devez évaluer le risque que vos traitements créent pour les personnes dont vous détenez les données et mettre en place des mesures à la hauteur de ce risque. Une petite entreprise B2B avec une base de contacts n’est pas tenue au même niveau d’exigence qu’une entreprise détenant des données de paiement et des millions de fiches clients.

Cela dit, les autorités de protection des données en Europe sont cohérentes. Parmi les mesures techniques qu’elles s’attendent à trouver :

  • Chiffrement des données personnelles, au repos et en transit
  • Authentification forte, avec authentification multifacteur sur les comptes qui accèdent à des données personnelles
  • Contrôles d’accès fondés sur le principe du moindre privilège
  • Sauvegardes testées, capables de restaurer les données après un incident

Les mesures organisationnelles peuvent inclure :

  • Une politique de sécurité de l’information documentée
  • Une sensibilisation régulière des collaborateurs
  • Un processus de gestion des accès lors des arrivées et des départs de collaborateurs
  • Des clauses contractuelles de protection des données avec les fournisseurs qui traitent des données pour votre compte

L’ignorance des règles n’est pas une défense reconnue au titre du RGPD. Vous devez comprendre vos obligations et rester conforme. Lorsqu’une autorité de protection des données ouvre une enquête à la suite d’une plainte, d’une violation ou d’un audit de routine, ce qu’elle veut voir, c’est ce que vous avez fait pour vous conformer.

Que faire en cas de violation de données ?

En cas de violation de données, vous devez notifier les autorités. Selon le règlement, une violation de données survient lorsque des données personnelles dont vous êtes responsable sont divulguées à des destinataires non autorisés, altérées ou rendues temporairement indisponibles. Cela peut être accidentel ou résulter de l’action d’un cybercriminel.

Lorsque cela se produit, vous devez :

  1. Notifier votre autorité de protection des données dans les 72 heures suivant la prise de connaissance de la violation
  2. Notifier les personnes concernées si le risque qu’elles encourent est élevé
  3. Documenter la violation, votre évaluation et les actions entreprises

Le compteur de 72 heures démarre lorsque vous avez connaissance de la violation, et non lorsque l’enquête est terminée. Les entreprises qui tardent à notifier peuvent être sanctionnées. Un plan de réponse à incident documenté, exercé au moins une fois par an, fait la différence entre une violation que vous pouvez gérer et une violation qui devient une affaire réglementaire.

Le coût de la non-conformité

Les amendes RGPD peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Et ces amendes ne sont pas uniquement déclenchées par des violations de données. Chacun des éléments suivants peut conduire à une enquête :

  • Une plainte d’un client qui continue de recevoir des messages marketing après avoir demandé à être désinscrit
  • Un ancien collaborateur signalant que ses données n’ont pas été effacées après son départ
  • Un utilisateur demandant l’accès à ses données et n’obtenant pas de réponse dans les délais
  • Un fournisseur ou un partenaire signalant que vous avez mal géré ses données
  • Un audit de routine de l’autorité de protection des données

Autrement dit, l’application du RGPD n’exige pas l’intervention d’un pirate. Une seule plainte adressée à l’autorité de protection des données suffit à lancer une enquête susceptible de mettre rapidement au jour des écarts de conformité plus larges. C’est pourquoi la documentation compte autant que les contrôles techniques.

Les amendes touchent aussi les PME

Les amendes majeures, comme la sanction de 1,2 milliard d’euros infligée à Meta en 2023, dominent la couverture médiatique, mais ne constituent pas la norme pour les PME. L’autorité espagnole de protection des données a publié plus de 900 décisions de sanction depuis l’entrée en vigueur du RGPD, en majorité contre des petites entreprises locales et non contre de grands groupes technologiques. Les amendes pour les PME se situent typiquement entre 5 000 € et 100 000 €, parfois davantage pour des manquements liés à la sécurité.

Comment les régulateurs calculent une amende

Pour calculer une amende, les régulateurs prennent en compte :

  • La nature et la gravité du manquement
  • Son caractère intentionnel ou négligent
  • Les catégories de données personnelles concernées
  • Votre degré de coopération à l’enquête
  • Les actions correctives que vous avez engagées

Une entreprise qui a documenté ses mesures, notifié rapidement et traité les écarts est évaluée très différemment d’une entreprise incapable de démontrer aucun de ces points.

Le RGPD est l’une des nombreuses réglementations à prendre en compte

Le RGPD n’est pas une obligation réglementaire isolée dans l’UE. Il existe plusieurs autres cadres applicables, comme NIS2, DORA, l’AI Act européen, ainsi qu’une liste croissante de règles sectorielles qui se recoupent.

NIS2 s’applique à de nombreuses ETI dans des secteurs incluant l’industrie, l’agroalimentaire, les services postaux et les prestataires de services numériques. DORA s’applique aux entités financières et à leurs prestataires informatiques tiers critiques. Les deux réglementations imposent des exigences de sécurité qui recoupent largement le RGPD, et vont plus loin sur la notification d’incidents, la gestion du risque de la chaîne d’approvisionnement et la responsabilité au niveau du conseil d’administration.

Un programme de sécurité conçu uniquement pour le RGPD peut s’avérer insuffisant face à NIS2 ou DORA. Un programme de cybersécurité fondé sur le risque permet de satisfaire plusieurs exigences avec un seul programme.

Une approche fondée sur le risque vous maintient en conformité

La conformité au RGPD se résume à quelques essentiels : savoir quelles données personnelles vous détenez et pourquoi, appliquer des mesures de sécurité à la hauteur du risque, documenter vos décisions et être prêt à réagir lorsqu’un incident survient.

La même approche se transpose à NIS2, DORA et aux règles sectorielles qui peuvent s’appliquer à votre entreprise. Un programme de cybersécurité ancré dans la gestion du risque cyber n’a pas besoin d’être reconstruit pour chaque réglementation. Une fois votre exposition comprise et la manière dont vous la gérez documentée, les écarts deviennent plus faciles à identifier et à corriger.

Pour la plupart des PME, l’enjeu n’est pas de comprendre ce que le RGPD exige — c’est de trouver le temps et l’expertise pour cartographier leurs données, évaluer leurs contrôles et tout documenter de façon à résister à un examen. Ce travail est difficile à réaliser en interne sans une fonction sécurité ou conformité dédiée, dont la plupart des ETI ne disposent pas.

Prochain article : Lorem Ipsum Dolor Sit
GRPD & Cybersécurité

Comment C-Trust peut vous aider

C-Trust est une plateforme d’évaluation du risque cyber conçue pour les PME et les ETI. Elle pose les bonnes questions pour cartographier votre exposition cyber sous l’angle du RGPD, de NIS2 et de DORA en une seule évaluation, et quantifie votre risque cyber en termes financiers selon le standard FAIR.

Le Cyber Risk Report de C-Trust montre où se situent vos écarts de conformité, avec un plan d’action priorisé selon l’impact financier. Il est prêt à être présenté à votre conseil d’administration et partagé avec les régulateurs, vos clients et vos assureurs.  

In progress Completed edit Not started In progress

Combien vous coûterait une cyber attaque ?

La plupart des entreprises le découvrent après un incident. C-Trust vous donne la réponse avant.

Demandez votre démo →