Le premier volet du triptyque, c’est le droit de la sécurité des systèmes d’information le droit de la SSI. Quels sont les objets du droit de la SSI ? En quoi consiste le droit de la SSI ?

Si on veut le retenir correctement, il faut retenir l’expression de « mise en place de mesures techniques et organisationnelles » de cybersécurité. Mais il y a plus simple pour retenir cela : des documents et des mesures techniques (c’est-à-dire des mesures informatiques).

Quand on est en droit de la SSI, on doit produire de la liasse documentaire en quelque sorte, et on doit par ailleurs agir sur le terrain informatique. L’ensemble de cela (documents + mesures informatiques), c’est ce qu’on appelle les mesures techniques et organisationnelles.

Voici un panorama du droit de la SSI. C’est un panorama partiel, mais qui donne une idée de cette branche du droit. Le premier aspect du droit de la SSI, c’est celui qui concerne l’anticipation et la gestion juridique des cyberattaques.

Oui, on ne peut pas se contenter de répondre aux cyberattaques : il faut aussi, en amont, avoir mis en place une préparation du SI à ces cyberattaques, une anticipation. Concrètement, le droit impose par exemple de cartographier les données. Que veut dire « cartographier les données » ? Ça signifie produire un document pour montrer qu’on est capable de hiérarchiser les différentes données qui sont dans son entreprise. On ne peut pas traiter de la même manière la donnée qui désigne un numéro de bon de commande et celle qui évoque l’état de santé du salarié de l’entreprise. Ce ne sont pas les mêmes degrés de sensibilité. La cartographie qui doit être faite dans les organisations, dans les entreprises, dans les associations, dans toutes les organisations qui sont connectées, doit montrer qu’on est capable de distinguer le niveau de criticité ou le niveau d’importance entre les données dont on dispose dans son organisation.

Un autre type de documentation qui va contribuer à la sécurité des systèmes d’information la charte d’utilisation des systèmes d’information. Dans cette charte, les droits et les devoirs des utilisateurs seront précisés. Il y a également un ensemble de procédures pour porter cette charte à la connaissance des utilisateurs. Il s’agit de faire en sorte que toute personne qui est amenée à utiliser les systèmes d’information de l’organisation soit autorisée à le faire et qu’elle le fasse dans des conditions qui soient respectueuses de l’intégrité, de la disponibilité et de la confidentialité de ce système d’information.

Autre document encore, la Politique de Sécurité des Systèmes d’Information (PSSI). Là encore, c’est un type de document qui est assez bien codifié. On en trouve des exemples types un peu partout, mais il ne faut pas se contenter de les télécharger et de les recopier servilement, parce que cette PSSI est importante : elle va nous donner les objectifs et les moyens de la cybersécurité, deux éléments qui doivent être définis in concreto, en fonction des moyens de l’organisation. C’est un document qui demande une certaine expertise pour le mettre en place, il a une grande importance : c’est lui qui va dessiner au fond la stratégie de cybersécurité de chacune des organisations.

En imposant cela, le droit fait œuvre de contribution à la sécurité des systèmes d’information.

Le deuxième aspect, c’est la gestion des données personnelles. Les données personnelles font l’objet d’une attention particulière. Tout à l’heure, je parlais du numéro de série d’un bon de commande : c’est une donnée, mais ce n’est pas une donnée personnelle. En revanche le nom du client sur ce bon de commande est une donnée personnelle et les données personnelles (un nom, une adresse, tout ce qui permet finalement de faire le lien avec une personne physique) doivent être gérées là encore avec des documentations et des mesures techniques qui sont particulières.

Dans ce volet, on va prendre une mise en situation simple, sommaire, mais qui illustre l’essentiel de ce qui doit être fait dans un cas que beaucoup d’entreprises françaises ont connu récemment, puisqu’on est passé au prélèvement à la source au niveau fiscal. Les entreprises se sont retrouvées avec beaucoup plus d’informations sur leur personnel et sur leurs effectifs qu’elles n’en avaient avant, puisque c’est l’employeur qui récupère un certain nombre d’informations destinées au Trésor public.

Voici la mise en situation qui est proposée : depuis l’entrée en vigueur du prélèvement à la source, la société IXYGREC, qui dispose d’un effectif de 200 personnes, doit repenser tout son système d’information en ressources humaines. Elle se tourne vers le prestataire informatique ALPHA-OMEGA pour procéder à cette refonte. Quels conseils juridiques pouvons-nous donner au prestataire ALPHA-OMEGA pour traiter les données personnelles que lui a confiées son client IXYGREC ?

Selon une méthode juridique éprouvée, il faut commencer par recenser les textes qui pourraient s’appliquer à la situation en présence. Ici, nous avons trois séries de textes qui peuvent s’appliquer.

Le premier, c’est un texte très connu maintenant, il a été pris en 2016 et il est entré en vigueur en 2018 : il s’agit du texte de l’Union Européenne intitulée RGPD, c’est à dire le Règlement général sur la protection des données personnelles. Ce texte a été transposé en droit français et a fait l’objet de nombreuses mesures mais il a aussi inspiré des législations étrangères comme au Japon, comme en Californie, comme au Brésil. Le RGPD est quasiment devenu un standard international tellement il a été reconnu pour son efficacité et pour sa capacité à apporter du changement positif.

Le deuxième texte est une loi française que l’on appelle la loi « informatique et liberté ». C’est une loi qui date de 1978, mais elle a été modifiée récemment, en 2018, justement pour prendre en considération un grand nombre de changements qui avaient eu lieu au niveau de l’Union Européenne.

Et enfin, il y a un texte – encore une fois de loi française – du 20 juin 2018 sur la protection des données personnelles.

Une fois qu’on a identifié les textes en présence, il faut procéder à ce qu’on appelle la qualification juridique des parties en présence. Qui fait quoi dans la situation actuelle sur le plan du droit ? La société IXYGREC est juridiquement qualifiée de responsable de traitement. Pourquoi ? On parle de traitement pour parler de traitement de données personnelles. Bien sûr, la société IXYGREC détient des données personnelles de ses salariés : leur nom, leur situation géographique, parfois leur situation maritale à cause du prélèvement à la source. Donc la société IXYGREC traite des données personnelles. Dès lors qu’elle les traite à titre primaire, c’est-à-dire que c’est elle qui est la première à détenir ces données, on l’appelle responsable de traitement.

Mais elle va ensuite confier ces données à la société ALPHA-OMEGA. Ce faisant, elle va faire d’ALPHA-OMEGA un sous-traitant au sens du RGPD. D’où l’abréviation RT pour Responsable de Traitement et ST pour sous-traitant.

Dans notre situation, les textes suivants s’appliquent. Ils viennent majoritairement du RGPD. L’article 5 nous dit que le sous-traitant doit mettre en place des mesures techniques et organisationnelles qui garantissent l’intégrité et la confidentialité des données traitées.

Ensuite l’article 25 du RGPD nous indique que le sous-traitant (en l’occurrence ALPHA-OMEGA) lorsqu’il repense, lorsqu’il refonde l’outil de ressources humaines qui va impacter le système d’information de la société IXYGREC doit concevoir cet outil informatique nouveau avec une protection native et par défaut des données personnelles. « Native », en ce sens que dès sa conception, l’outil informatique doit prévoir la protection des données personnelles. « Par défaut », cela signifie que cette protection doit être d’ores et déjà active quand on acquiert l’outil informatique. Autrement dit, on ne doit pas avoir à aller cocher une option pour activer cette protection.

Elle doit être donc native et par défaut, c’est ce qu’on appelle en anglais la « protection by design » c’est-à-dire la protection dès la conception de l’outil informatique en matière de données personnelles.

L’article 28 du RGPD nous dit qu’il est important qu’il y ait un contrat conclu entre le responsable de traitement et le sous-traitant – entre IXYGREC et ALPHA-OMEGA. Ce contrat doit stipuler que ALPHA-OMEGA détient et traite ces données personnelles qui ne lui appartenaient pas, mais que ALPHA-OMEGA le fait sur instructions documentées de IXYGREC.

Cela permet à ALPHA-OMEGA de soutenir que toutes ses démarches sont justifiées par les instructions de quelqu’un d’autre, si bien qu’elle n’est pas responsable – ou pas entièrement responsable – des conséquences, pourvu qu’elle ait bien respecté sa feuille de route bien sûr.

L’article 32 du RGPD énonce des mesures techniques plus précises sur la protection « par défaut » et « de manière native » des données personnelles. C’est la pseudonymisation et le chiffrement de données personnelles : voilà le genre de protections techniques, natives et par défaut qu’il faut prévoir.

Et enfin, il est important que le sous-traitant ALPHA-OMEGA notifie dans les meilleurs délais au responsable de traitement en cas de violation des données personnelles, c’est-à-dire que si jamais ALPHA-OMEGA crée un outil informatique, et que pendant la création de cet outil les données fuitent, le sous-traitant s’oblige à notifier cette fuite de données personnelles à IXYGREC pour lui indiquer l’événement, l’incident en question et permettre à IXYGREC de rebondir et de prendre les mesures qui s’imposent.

En définitive, le droit de la SSI implique deux séries d’initiatives qui vont devoir être prises pour assurer la cybersécurité : des mesures organisationnelles justifiées par de la documentation d’une part, et des mesures de technique informatique d’autre part.

S’agissant des documents, il faut produire un contrat et un registre. Le contrat documente les responsabilités d' ALPHA-OMEGA et IXYGREC. Le registre décrit les traitements effectués par le sous-traitant.

Quant aux mesures techniques, on a parlé des protections natives et par défaut : ça peut être par exemple le fait de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée. Ainsi par exemple, si mon nom est dans une base de données de cet outil informatique et que ces données ne sont jamais utilisées pendant un certain temps, elles doivent pouvoir disparaître de cette base de données sans qu’on ait à cocher des options pour cela.

Et enfin ces mesures doivent être adaptées aux risques c’est-à-dire que les mesures techniques de notification de pseudonymisation de chiffrement doivent être prises si jamais le risque est important et que les données personnelles sont en plus d’un niveau d’importance et d’un niveau critique qui le justifie.

◁ Précédent | ⌂ Sommaire | Suivant ▷