📄

Les institutions de l’UE au soutien de la transformation numérique des activités juridiques

📄

Start

Le droit de la cybersécurité : les trois couches du cyberespace

la couche logicielle

la couche physique

où circulent les données à travers les failles de sécurité du code

infrastructures comme les centres de serveurs ou les câbles sous-marins, objets de sabotage potentiel

la couche informationnelle

où se jouent les enjeux de désinformation, de propagande ou d’ingérence électorale

ANSSI

Agence nationale de la sécurité des systèmes d’information) est une autorité française créée en 2009, placée sous l’autorité du Premier ministre, et rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN).

Elle certifie des produits de cybersécurité (logiciels, équipements…) jugés fiables. Elle accrédite des prestataires de confiance (ex. : prestataires de réponse à incident ou d’audit).

Elle mène des campagnes de sensibilisation auprès du grand public, des entreprises et des administrations. Elle propose aussi des formations, notamment via son centre de formation.

L’ANSSI protège les systèmes d’information de l’État (ministères, armée, hôpitaux…) et des opérateurs d’importance vitale (OIV). Elle aide à prévenir les cyberattaques, les intrusions, les fuites de données, etc.

L’ANSSI a été formalisée par le décret n° 2009-834 du 7 juillet 2009, et ses compétences ont été renforcées par : La loi de programmation militaire (LPM) de 2013, qui a confié à l’ANSSI la protection des OIV, Le RGPD, pour sa participation aux politiques de sécurité liées aux données, La directive NIS (Sécurité des réseaux et des systèmes d'information) au niveau européen.

Elle intervient en cas d’incident majeur de sécurité numérique. Elle fournit une assistance technique et coordonne la réponse à la crise.

Elle publie des guides techniques (ex. : sur les mots de passe, le chiffrement, la gestion des incidents…). Elle définit des référentiels de sécurité utilisés dans les appels d’offres publics.

Tableau récapitulatif des obligations en cas de violation de données personnelles

04

01

Information aux personnes concernées Art. 34(1) RGPD

Détection de la violation Art. 4(12) RGPD -

Dès que possible après constat Obligatoire en cas de risque élevé pour les droits et libertés des personnes

Toute atteinte à la confidentialité, intégrité ou disponibilité des données personnelles

05

02

Exceptions à l’information des personnes Art. 34(3) RGPD

Notification à la CNIL Art. 33(1) RGPD

72h après prise de connaissance Obligatoire sauf si risque peu probable pour les droits et libertés des personnes concernées

Données protégées par chiffrement- Risque éliminé par mesures correctives - Notification nécessiterait des efforts disproportionnés

06

Contenu de la notification à la CNIL Art. 33(3) RGPD

03

Documentation interne (registre des violations) Art. 33(5) RGPD

Idéalement en une fois, sinon échelonnée (art. 33(4)) - Nature de la violation- Nombre de personnes concernées - Coordonnées DPO - Conséquences probables - Mesures prises

Immédiatement après constat Doit être tenue à disposition de la CNIL et contenir : nature, effets, mesures prises

Tableau récapitulatif des obligations en cas de violation de données personnelles

04

07

Gavité niveau 2 Art. 83 (5) RGPD

Information par le sous-traitant au responsable Art. 28(3)(f) RGPD

20 M€ ou 4 % du CA mondial - Traitement illégal ou non autorisé (art. 6)- Violation des droits des personnes (accès, rectification, effacement…) (art. 12 à 22) - Transfert non conforme de données hors UE (art. 44 à 49) - Non-respect des décisions de la CNIL ou du CEPD

Sans délai Le sous-traitant doit notifier toute violation au responsable de traitement

08

Gravité niveau 1Art. 83(4) RGPD

Moindre gravité (niveau 1) 10 M€ ou 2 % du CA mondial - Défaut de tenue du registre des traitements (art. 30)- Absence de notification d'une violation à la CNIL (art. 33) - Défaut d’analyse d’impact (art. 35) - Défaut de désignation d’un DPO (art. 37) - Défaut de sécurité technique (art. 32)

Cas Pratique

La société NeoMarket, plateforme française de vente en ligne de produits électroniques, a récemment été victime d’un piratage. Un pirate a réussi à accéder à la base de données clients grâce à une faille de sécurité dans un logiciel développé en interne. Il a ainsi pu récupérer : les noms, prénoms, adresses email, numéros de téléphone, les historiques d’achats, et dans certains cas, des copies de factures avec adresses postales. La faille a été découverte un samedi matin, suite à une alerte du système de détection interne. L’équipe technique a confirmé la présence d’un accès non autorisé aux données, mais ne sait pas encore si les données ont été copiées ou simplement consultées. Le Délégué à la protection des données (DPO) a été prévenu le dimanche soir. Le lundi matin, le PDG de NeoMarket hésite à notifier la CNIL, considérant que les données ne sont pas « hautement sensibles » et que la faille est en cours de correction. Il envisage de ne pas informer les clients concernés, par crainte de nuire à l’image de la marque. Le DPO, conscient de ses obligations, souhaite s’assurer que l’entreprise respecte ses obligations de notification prévues par le RGPD. Il sollicite un avis juridique.

Autres réglementations

Digital Operational Resilience Act

Directive NIS 2

Digital Services Act (DSA)

Digital Markets Act (DMA)

+info

+info

+info

+info

00:25

00:25

00:25

Pose a dramatic question; it is the essential ingredient to maintain the audience's attention. It is usually subtly presented at the beginning of the story to intrigue the audience and resolved at the end.

We don't like to bore. We don't want to be repetitive. Communicating as usual is dull and doesn't engage. We do it differently. We sabotage boredom. We create what the brain likes to consume because it stimulates it.

Visual content is a cross-cutting, universal language, like music. We are able to understand images from millions of years ago, even from other cultures.