L’obligation pour un responsable de traitement d’assurer la confidentialité des données personnelles a toujours constitué un principe fondamental du droit de la protection des données personnelles et sur ce point, le RGPD accentue encore l’importance de ce principe.

Face aux attaques récurrentes de systèmes d’information, la définition d’une politique de sécurité de la donnée s’intègre dorénavant dans un espace plus large qui est celui de la cybersécurité.

Préoccupation prise en compte par l’Union européenne dans le cadre de l’adoption du « Paquet numérique », la Commission Juncker a voulu créer et harmoniser au sein de l’Union européenne un niveau élevé de sécurité des données et des infrastructures.

C’est l’objet de la directive européenne Network and Information Security (dite directive NIS) adoptée le 6 juillet 2016, soit peu de temps après l’adoption du RGPD, qui impose des mesures de sécurité relatives aux réseaux et systèmes d’information dans l’Union européenne. Cette directive traduit ainsi la volonté de créer en Europe un environnement digital fiable et sécurisé. Elle a été transposée en droit français par la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité. Cette loi a permis l’adaptation du droit positif aux standards européens de cybersécurité consacrant les opérateurs de services essentiels et les fournisseurs de service numérique. Cette loi vient d’être précisée par le décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique pour préciser les modalités d’application de ces nouvelles dispositions auprès de ces opérateurs.

Pour autant la France n’a pas attendu cette directive pour mettre en place dans le Code de la défense un dispositif interministériel de sécurité des activités d’importance vitale (dit « SAIV ») par la loi n° 2005-1550 du 12 décembre 2005 modifiant diverses dispositions relatives à la défense. Piloté par le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), le dispositif vise à protéger les opérateurs d’importance vitale (dits « OIV ») mentionnés à l’article L.1332-1 du Code de la défense contre les actes de malveillance et les risques technologiques, naturels et sanitaires pouvant les impacter. La loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale est venue imposer aux OIV des mesures relatives à la sécurité de leurs systèmes d’information. Les conditions de mise en œuvre de cette loi ont été précisées par le décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale. La France a également intégré ces obligations affectant les acteurs de la filière numérique destinées à se superposer avec le régime des OIV par le décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information.

La directive NIS s’inscrit dans cette même logique de protection structurelle en fixant un cadre européen compatible avec la loi de programmation militaire dont elle s’est largement inspirée. Cette loi peut donc être considérée comme une transposition anticipée de la directive.

La CNIL propose de son côté parmi les outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de l’autorité, des documents spécifiques à la sécurité, en particulier :

• un guide de la sécurité des données personnelles destiné aux professionnels en abordant sous forme de fiches thématiques les différentes problématiques (sécuriser les postes de travail, l’informatique mobile, les serveurs, les sites web etc.)
• une méthode en 6 étapes pour mettre en œuvre l’essentiel des mesures nécessaires qui comportent la gestion des risques et l’organisation des processus internes
• un formulaire de notification des violations de données personnelles présentant un risque pour les droits et libertés des personnes destiné à la CNIL dans un délai de 72 heures au plus tard après en avoir pris connaissance (article 33 du RGPD) et lorsque le risque est élevé, aux personnes concernées (article 34 du RGPD)
• des guides PIA (« Privacy Impact Assessment » ou analyse d’impact sur la protection des données) qui permettent aux responsables de traitement de mettre en place les bonnes pratiques lorsque leurs traitements sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées
• un logiciel pour mener une analyse d’impact sur la protection des données (PIA) qui accompagne les responsables de traitement dans la réalisation de leur analyse d’impact conformément à l’article 35 du RGPD

En complément de ces outils, l’ANSSI a publié un kit de sécurité le 6 juin 2018, soit peu de temps après l’entrée en application du RGPD, et propose plusieurs outils organisés sous les 5 thèmes suivants : comprendre le risque numérique, se protéger, sensibiliser les collaborateurs, choisir des solutions et des experts de confiance, que faire en cas d’incident.