Mots-clés

RGPD (Règlement Général sur la Protection des Données)

Le RGPD, entré en vigueur en mai 2018, constitue la pierre angulaire de la protection des données personnelles en Europe. Il impose aux organisations de garantir la confidentialité, l’intégrité et la disponibilité des données qu’elles collectent et traitent. Les principes clés incluent la minimisation des données, le consentement explicite et le droit à l’oubli. Sur le plan technique, le RGPD exige la mise en œuvre de mesures de sécurité adaptées telles que le chiffrement ou la pseudonymisation.

Le RGPD prévoit que les autorités de contrôle (comme la CNIL en France) peuvent infliger des amendes administratives aux entreprises qui ne respectent pas leurs obligations en matière de protection des données. Ces amendes sont proportionnées à la gravité de la violation (par exemple, défaut de consentement, absence de sécurisation, non-respect des droits des personnes...). Le plafond fixé par le règlement est 4 % du chiffre d’affaires annuel mondial de l’entreprise.

Je vous invite à consulter la page officielle de la CNIL consacrée au Règlement Général sur la Protection des Données (RGPD) et qui détaille le texte juridique européen encadrant la protection des données personnelles.

Directive NIS2 (Network and Information Security 2)

Adoptée en 2023 et entrée en vigueur en 2025, la directive NIS2 renforce le cadre européen de cybersécurité en ciblant les entités essentielles et importantes (infrastructures critiques, santé, énergie, transport, administrations...). Elle impose aux organisations de mettre en place une gestion proactive des risques, de signaler rapidement les incidents à l’autorité nationale compétente. La directive repose sur l'Article 21, qui énumère 10 mesures de gestion des risques de cybersécurité que les entités doivent obligatoirement mettre en œuvre.

Contrairement au RGPD, qui se concentre sur les données personnelles, NIS2 vise la résilience des services numériques et des infrastructures critiques. Les sanctions prévues peuvent atteindre 2 % du chiffre d’affaires mondial, et la directive introduit une responsabilité accrue des dirigeants en cas de manquement.

Je vous renvoie à cet article explicatif d’Orange Cyberdefense intitulé "NIS2: obligations, échéances, sanctions et mise en conformité" pour plus de détails.

ISO/IEC 27001

La norme internationale ISO/IEC 27001, régulièrement mise à jour (dont la dernière version date de 2022) fournit un cadre méthodologique pour instaurer un Système de Management de la Sécurité de l’Information (SMSI).

Contrairement au RGPD et à NIS2, il ne s’agit pas d’une obligation légale, mais d’une certification volontaire qui atteste du sérieux d’une organisation en matière de cybersécurité. Elle repose sur une approche par les risques avec des exigences telles que la définition d’une politique de sécurité, la mise en place de contrôles techniques et organisationnels et l’amélioration continue. ISO/IEC 27001 est devenue une référence mondiale, adoptée par des milliers d’entreprises pour renforcer la confiance de leurs clients et partenaires.

Je vous invite à consulter la page officielle de l’Organisation internationale de normalisation (ISO) dédiée à la norme ISO/IEC 27001 afin de mieux comprendre le cadre méthodologique pour instaurer un Système de Management de la Sécurité de l’Information (SMSI).