Le compte à rebours pour l’application du RGPD est lancé… Les entreprises ne disposent plus que de quelques semaines pour se préparer et se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ou avec la Directive NIS sur la sécurité des réseaux et des systèmes, deux obligations au champ différents mais complémentaires, analyse ici Bruno Labidoire, directeur avant-vente et expert cybersécurité chez McAfee.
Le Règlement Général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain et a pour objectif de renforcer et unifier la protection des données pour les individus de l’Union Européenne (UE). En parallèle, la directive Network and Information Safety (NIS), adoptée en juillet 2016, prévoit le renforcement des capacités nationales de cybersécurité et établit un cadre formel de coopération entre Etats membres. Elle intègre également le renforcement de la cybersécurité d’opérateurs issus de secteurs clés, tels que les OIV (Opérateurs d’Importance Vitale), OSE (Opérateurs de Services Essentiels), ainsi que de certaines plateformes numériques. Avec une entrée en vigueur à quelques semaines d’intervalle, ces deux textes ne font-ils pas double usage ?
Le 25 mai prochain, les états-membres de l’Union Européenne devront avoir transposé dans leur droit local la directive NIS. Celle-ci institutionalise la lutte contre le cybercrime et consolide la coopération inter-état. Quelques jours plus tard, le RGPD sera officiellement en place avec son lot de nouveaux automatismes en matière de cyber-menace pour les entreprises. Légitimité et anonymisation des données, privacy by design et consentement systématique sont autant de changements qui vont bouleverser les process opérationnels.
Si les deux textes paraissent similaires dans les faits, ils sont en réalité complémentaires. S’ils visent tous deux à protéger les citoyens européens des dangers du numérique, leur champ d’intervention diffère quelques peu.
Ethique et police cybercriminelle
Le RGPD représente la base de l’éthique européenne en matière de protection des données. Il place les informations personnelles du citoyen européen au cœur de ses préoccupations. Les entreprises collectant ses précieuses métriques seront alors tenues d’en justifier l’utilité, l’emplacement et le traitement anonyme. En parallèle, le consentement à leur utilisation doit être éclairé et répété. Par extension, le privacy by default/design prévoit une sécurité native des objets connectés, dès leur conception.
La directive NIS pose de son côté les bases d’une véritable police cybercriminelle. Tout d’abord, le texte prévoit le renforcement des capacités nationales en matière de cybersécurité, via le support d’autorités nationales compétentes, d’équipes de réponse aux incidents informatiques (CSIRT) et de stratégies nationales dédiées. En France, l’ANSSI, le CERT-FR et la stratégie nationale pour la sécurité du numérique, proposée par le gouvernement de Manuel Valls, remplissent déjà ces rôles, amenés à être développés.
En parallèle, les pays européens sont invités à coopérer dans la lutte contre le cybercrime, notamment par l’adhésion au « réseau européen des CSIRT ». Le but ? Lutter contre les cellules pirates qui agissent d’un pays à l’autre. Déclinaison numérique d’Interpol, ce réseau entend favoriser la collaboration des forces vives afin de faciliter les arrestations. A l’échelle nationale, plusieurs acteurs économiques bénéficieront d’un statut spécial. En retour, les exigences en matière de protection des données augmenteront. La directive prévoit la dénomination d’OSE pour les entreprises de secteurs critiques – tels que la santé, l’énergie, les transports ou encore la distribution d’eau potable – qui seront alors sujets à des normes de sécurité cyberprédéfinies. De même, elles devront notifier les autorités en cas d’incidents ayant un impact sur la continuité de leurs services essentiels. Enfin, les prestataires de services numériques (Cloud, moteur de recherche, marketplace en ligne, etc.) seront eux soumis à des règles européennes communes.
Loin d’être une double peine, le duo RGPD et directive NIS représente l’illustration d’une volonté étatique commune en matière de cybersécurité. Tandis que l’un édicte les règles à suivre en matière de protection des données, le second offre les possibilités législatives et matérielles d’arriver à cet objectif commun de sûreté numérique. Si ces deux régulations posent des contraintes sur les entreprises, elles apportent également une structure quant à la manière de faire face au cybercrime et, in fine, créer une Europe plus protégée.