RGPD, NIS2, AI Act - le droit du numérique en toute sérénité

Source : site Internet de la CNIL

La société XXX aurait pu traiter des données de santé de patients sans autorisation des personnes concernées, si ces données avaient été anonymisées.
Et c’est bien l’argument avancé par XXX pour se défendre devant la CNIL. Cependant, cette commission n’a pas considéré que les données utilisées par XXX étaient anonymisées. Selon son appréciation, les critères d’anonymisation des données n’étaient pas réunis.

Considérant ainsi que les données traitées étaient pseudonymisées et non anonymisées, la CNIL a conclu que la société avait agi de façon non conforme au RGPD.
Par ailleurs, la CNIL a estimé que la société avait manqué à son obligation de licéité des données.

XXX a ainsi été sanctionnée par la CNIL d’une amende de 800 000 euros, tenant compte de la gravité des manquements et de sa situation financière.

Conformity Data rappelle ici que les sanctions financières prononcées par la CNIL peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires d’une entreprise.

La directive NIS 2, publiée au journal officiel de l’Union européenne en décembre 2022 est entrée en vigueur dans le droit français ce mois d’octobre 2024, pour une application progressive par les entités concernées.

Alors qu’on constate une évolution significative de la menace et que les cyberattaques ont un impact de plus en plus important sur les structures publiques et privées, avec notamment l’émergence de nouvelles cibles comme les PME et les collectivités territoriales, NIS 2 a pour vocation non seulement d’étendre le périmètre, l’élargissant d’une cybersécurité des opérateurs critiques à une cybersécurité de masse, mais aussi d’encadrer davantage les mesures de sécurité procédurales, techniques et organisationnelles.

Pour mieux connaître et comprendre les directives NIS relatives à la cybersécurité :

1. Que signifie l’acronyme NIS ?
Network and Information Security
En français, on traduit par l’acronyme SRI : sécurité des réseaux et des systèmes d’information. Cependant, dans le langage courant, on emploie l’acronyme anglais.

2. Qu’est-ce que NIS 1 ?
NIS est la première directive européenne de cybersécurité, adoptée en 2016 et entrée en vigueur en 2018. Elle a permis de renforcer les capacités de coopération à l’échelle européenne. Au titre de NIS 1, l’ANSSI a été désignée autorité nationale compétente et a nommé 300 entités comme opérateurs de service essentiels (OSE). Des exigences de sécurité ont été fixées pour ces entités.

3. Pourquoi NIS 2 ?
La menace évoluant, comme les cyberattaques croissantes contre des PME et des collectivités territoriales, le droit et la pratique sécuritaire doivent s’adapter, faisant ainsi changer la réglementation initiale. Le phénomène de rançongiciels peut avoir un impact dramatique, non seulement pour la structure concernée, mais aussi pour la société tout entière.

4. Qu’est-ce que NIS 2 ?
Fin 2020, la commission européenne a proposé d’étendre le nombre d’entités concernées, pour passer de 15 000 à 100 000 à l’échelle européenne et de créer de nouvelles obligations pour ces dernières.

5. Que contient la nouvelle directive NIS 2 ?
Le périmètre des entités concernées a été étendu, désormais divisé en deux typologies : les entités essentielles et les entités importantes.

La proportionnalité aux moyens et aux enjeux des structures est intégrée concernant les mesures de sécurité, la régulation et les sanctions.

• La liste des entités essentielles figure à l’annexe 1 de la directive. Elles n’entreront dans le cadre de NIS 2 que si, en plus, elles ont au moins 250 employés ou un chiffre d’affaires minimum de 50 millions d’euros ou un bilan annuel supérieur à 43 millions d’euros.
• Les entités importantes figurent aux annexes 1 et 2 de la liste. Elles devront de surcroît avoir entre 50 et 250 employés ou un chiffre d’affaires entre 10 et 50 millions d’euros ou un bilan annuel de 10 à 43 millions d’euros.
• Ne sont donc pas concernées par la directive les structures dont les secteurs d’activité ne figurent pas dans cette liste et qui ont moins de 50 employés ou moins de 10 millions d’euros de chiffre d’affaires ou un bilan annuel inférieur à 10 millions d’euros.

De nouvelles obligations et mesures de sécurité apparaissent. Les principales sont :

• les obligations envers l’ANSSI de déclarer les incidents majeurs en plusieurs phases, avec un délai de 24 heures concernant la notification initiale d’incident,
• des mesures techniques, organisationnelles et opérationnelles appropriées et proportionnées pour gérer les risques menaçant la sécurité des réseaux et des systèmes d’information, telles que la mise en place de politiques relatives à l’analyse des risques, la gestion des incidents, des procédures pour évaluer l’efficacité des mesures, des pratiques de cyberhygiène et des formations à la cybersécurité.

Les contrôles sont renforcés et des sanctions pécuniaires apparaissent.

En conclusion, pour l’Union européenne, le but des directives NIS est de promouvoir un cyberespace européen « libre et sécurisé », avec un double objectif :

• anticiper et réagir de manière appropriée face aux cyberattaques,
• pérenniser la croissance de l’économie numérique.

Afin d’assurer un niveau élevé de cybersécurité et commun à l’ensemble des États membres, les directives NIS 1 et NIS 2 prévoient ainsi :
1. d’améliorer les capacités de cybersécurité des États membres,
2. de renforcer la coopération entre les secteurs, qu’ils soient publics ou privés et les États,
3. d’adopter des pratiques de gestion des risques et de rendre compte des accidents de cyberattaques pour les entreprises de secteurs critiques.