Sécurité du SI et RGPD : comment concilier les deux ?

29/01/2025

Le Règlement général sur la protection des données (RGPD) a un impact transversal sur la gestion du système d’information des organisations.

Du DSI au RSSI en passant par le DPO et les chefs de projet, tous doivent intégrer les exigences RGPD dans l’administration du SI.

Cela couvre aussi bien la journalisation des activités, la gestion des accès, les sauvegardes et l’archivage des données, que l’encadrement de l’infogérance, l’usage d’outils de surveillance et le choix de l’hébergement des données.

→ Cet article passe en revue les principales obligations liées à chaque composante, en soulignant les bonnes pratiques à adopter, les risques à éviter, les recommandations de la CNIL/EDPB, ainsi que quelques sanctions notables en cas de manquement.

Journalisation : traçabilité des actions et conformité RGPD

La journalisation (ou gestion des logs) est indispensable pour assurer la traçabilité des accès et opérations effectués sur les données personnelles. La CNIL rappelle explicitement que journaliser les actions d’accès, de création, de modification et de suppression dans un traitement de données fait partie des exigences de sécurité des traitements.

En d’autres termes, la tenue de journaux de connexion et d’actions est un élément clé pour détecter les accès non autorisés ou incidents et en apporter la preuve le cas échéant.

Bonnes pratiques

• Quoi journaliser ? Il est recommandé d’enregistrer dans des fichiers logs les événements significatifs : connexions des utilisateurs (y compris administrateurs), actions métiers sur les applications, anomalies et événements de sécurité. Pour chaque accès ou action importante, conserver l’identifiant de l’utilisateur, la date/heure et la nature de l’opération permet d’avoir des traces exploitables.
• Durées de conservation adaptées : La CNIL préconise de conserver les logs de sécurité sur une période glissante de 6 mois à 1 an en règle générale. Une durée plus longue peut être justifiée dans certains cas (par ex. jusqu’à 3 ans pour des besoins de contrôle interne accrus), à condition de la documenter et de la proportionner au risque. À l’inverse, on évitera de stocker des journaux plus longtemps que la durée nécessaire, afin de ne pas engendrer de nouveaux risques (saturation, vol de logs, etc.).
• Analyse et exploitation : Les journaux n’ont d’utilité que s’ils sont exploités. Il est donc conseillé de mettre en place des outils d’analyse automatique pour détecter rapidement des anomalies ou usages frauduleux. Par exemple, un SIEM peut générer des alertes en cas d’accès inhabituels. Il convient également de vérifier régulièrement que le système de log fonctionne et produit bien des informations exploitables.
• Protection des logs : Les fichiers de journalisation doivent être sécurisés pour empêcher toute altération ou accès indu. Seules des personnes spécifiquement habilitées (administrateurs sécurité…) peuvent consulter les journaux, et ces personnes devraient être soumises à une obligation de confidentialité renforcée. Techniquement, il est recommandé d’isoler les logs sur un serveur dédié, protégé des utilisateurs dont on trace l’activité. L’accès en écriture aux journaux doit être limité à un très petit nombre de comptes de service, et l’accès en lecture aux outils de centralisation doit être contrôlé par des rôles prédéfinis.
• Équilibre avec la vie privée : Il faut trouver un juste milieu entre sécurité et surveillance. Les logs contiennent des données sur les utilisateurs habilités (employés, administrateurs) qui pourraient révéler des informations sur leur activité ou performance. L’employeur ne doit pas exploiter ces journaux à des fins étrangères à la cybersécurité (par ex., évaluer la productivité ou le temps de travail) – ce serait un détournement de finalité prohibé. De plus, toute mise en place de journalisation qui concerne des salariés doit être effectuée dans la transparence : information claire dans la charte informatique ou politique interne, et consultation préalable des instances représentatives du personnel le cas échéant.

Risques et sanctions

À défaut de journalisation suffisante, une organisation pourrait être incapable de détecter ou documenter une violation de données, ce qui constituerait un manquement à l’obligation de sécurité de l’article 32 RGPD. Inversement, une surveillance excessive via les logs sans base légale ni information appropriée expose au risque d’atteinte à la vie privée des employés.

En 2025, la CNIL a ainsi sanctionné plusieurs organismes pour surveillance disproportionnée des salariés, reprochant notamment l’absence d’information du personnel et une collecte excessive de données de navigation. Le message est clair : il convient de journaliser assez pour la sécurité, mais sans tomber dans le piège d’une surveillance généralisée contraire aux droits des personnes.

Gestion des accès : maîtriser les habilitations et l’authentification

La gestion des accès vise à ce que chaque utilisateur du SI accède uniquement aux données dont il a besoin pour ses missions – c’est le principe du moindre privilège. Cette discipline relève des mesures de sécurité organisationnelles exigées par le RGPD (article 32) afin de garantir la confidentialité des données.

Une politique d’habilitations mal gérée peut conduire à des fuites ou violations de données, comme l’illustrent certaines sanctions pour défaut de contrôle d’accès.

Bonnes pratiques

La CNIL recommande une approche stricte des habilitations :

• Profils et rôles : Définissez des profils d’accès correspondant aux besoins métiers, en séparant les tâches et responsabilités. Chaque utilisateur ne doit voir que les données strictement nécessaires à son travail. Par exemple, un technicien support n’accède pas aux données RH, etc.
• Procédure d’attribution : Toute ouverture de droits doit être validée par un responsable (manager, chef de projet…) avant d’être accordée. Documentez ces demandes et validations pour tracer qui a autorisé quoi.
• Retrait des accès obsolètes : Révoquez sans délai les droits d’un utilisateur qui change de poste ou quitte l’organisation. De même, les accès temporaires (pour un remplaçant, un prestataire ponctuel…) doivent être supprimés une fois l’opération terminée.
• Revue régulière : Menez au moins une revue annuelle des comptes et habilitations pour identifier les comptes dormants ou les droits trop larges, et les corriger. Impliquez les responsables métiers dans cet audit afin de vérifier que les droits correspondent toujours aux fonctions.
• Authentification robuste : Assurez-vous que les mécanismes d’authentification sont à la hauteur : utilisation de mots de passe solides (et renouvelés périodiquement, surtout pour les comptes sensibles), voire déploiement d’une authentification multifacteur pour les accès critiques (VPN, accès administrateur, etc.). La CNIL considère souvent l’absence de mesures renforcées (ex. 2FA) comme un manquement si les données ou systèmes sont sensibles. Par ailleurs, bannissez les comptes partagés ou par défaut : chaque accès doit être nominatif afin d’en assurer la traçabilité et la responsabilité.

Ce qu’il faut éviter

• Comptes partagés ou génériques : Ils diluent la responsabilité et empêchent de savoir « qui fait quoi ». Si de tels comptes d’exception sont vraiment nécessaires, ils doivent être très encadrés (validation managériale, usage restreint dans le temps, suivi).
• Privilèges excessifs : N’accordez pas à un utilisateur plus de droits que nécessaire « au cas où », ni de droits administrateur s’il n’en a pas un besoin avéré. Les droits administrateur doivent être limités aux personnes formées et de confiance, et idéalement exercés via des comptes spécifiques séparés du compte standard.
• Oublis de retrait : Une erreur classique est d’oublier de supprimer un compte ou un accès après le départ d’un collaborateur ou un changement de rôle. Ces comptes orphelins deviennent des portes d’entrée idéales pour des abus (internes ou externes) si quelqu’un en récupère les identifiants.

En résumé, une bonne gestion des accès consiste à limiter strictement les permissions, à formaliser les processus d’habilitation (y compris dans une politique de contrôle d’accès écrite), et à maintenir une hygiène d’authentification irréprochable. Ceci permet de réduire fortement le risque de violations de données liées à des accès internes mal maîtrisés.

En cas de contrôle, la traçabilité des décisions d’habilitation et la démonstration d’un système d’accès bien pensé seront autant de gages de conformité pour le régulateur.

Sauvegardes et archivage : disponibilité des données et maîtrise des durées de conservation

La sauvegarde des données et l’archivage sont deux volets complémentaires de la gestion du cycle de vie des données.

D’une part, les sauvegardes (backups) garantissent la disponibilité et l’intégrité des données en cas d’incident, ce qui répond à l’obligation de sécurité du RGPD (assurer la disponibilité des données fait partie des mesures de l’article 32).

D’autre part, l’archivage et la suppression encadrée des données assurent le respect du principe de limitation de la conservation des données personnelles (article 5-1-e du RGPD).

Les responsables du SI doivent donc mettre en place des stratégies pour conserver les données au bon endroit, pendant la bonne durée, tout en pouvant restaurer celles qui sont encore légitimes.

Sauvegardes : garantir la résilience sans négliger la sécurité

Une perte de données, qu’elle soit due à une panne, une erreur humaine ou une attaque (ex : ransomware), peut constituer une violation de données si elle affecte des informations personnelles. Pour limiter cet impact, des sauvegardes régulières et sécurisées sont indispensables. Voici les principales bonnes pratiques :

• Backups réguliers et testés : Effectuez des sauvegardes fréquentes des données critiques. Idéalement, planifiez des sauvegardes incrémentales quotidiennes (qui ne copient que les changements du jour) et des sauvegardes complètes à intervalle régulier (hebdomadaire, mensuel). Testez régulièrement la restauration pour vous assurer que les backups sont exploitables (il est trop tard pour découvrir le jour J qu’une sauvegarde est corrompue !).
• Stockage hors site et hors ligne : Conservez au moins une copie de sauvegarde en un lieu géographiquement distinct du site principal (sinistre, vol ou incident local ne doivent pas détruire données et sauvegardes simultanément). De plus, isolez au moins une sauvegarde de manière offline (déconnectée du réseau), par exemple sur un support stocké hors ligne, afin qu’une cyberattaque ne puisse pas chiffrer ou effacer toutes les copies. La règle éprouvée du « 3-2-1 » préconise d’avoir 3 copies des données sur 2 supports différents dont 1 en offline.
• Sécurité des backups : Les données sauvegardées doivent être protégées au même niveau que celles en production. Cela signifie chiffrer les sauvegardes si les données sources le sont, les stocker dans un espace sécurisé (coffre, datacenter sécurisé) et, si on externalise la sauvegarde, bien encadrer contractuellement le prestataire (devoir de confidentialité, mesures de sécurité, restitution/destruction en fin de contrat, etc.). Par ailleurs, chiffrez les transferts de sauvegarde sur le réseau (VPN, SSL/TLS…) surtout s’ils sortent du réseau interne.
• Éviter les écueils : Ne laissez pas les sauvegardes sur le même serveur ou support que les données actives sans isolation – en cas de ransomware, les deux risquent d’être chiffrés d’un coup. Ne conservez pas non plus les backups dans le même local physique que le système principal (incendie ou vol sur site = perte totale). Enfin, ne supposez pas que “tout va bien” : vérifiez périodiquement l’intégrité des sauvegardes et surveillez l’espace de stockage pour éviter qu’une saturation empêche les backups futurs.

En suivant ces pratiques, vous renforcez la résilience de votre SI, comme exigé par le RGPD. N’oubliez pas que si malgré tout un incident entraîne la perte ou l’indisponibilité de données personnelles, vous devez évaluer s’il s’agit d’une violation à notifier (articles 33-34 RGPD) – par exemple, l’indisponibilité prolongée de données essentielles à des personnes peut constituer un risque qu’il faut reporter.

Archivage et cycle de vie des données : respecter la durée nécessaire puis supprimer

Le RGPD impose que les données personnelles ne soient pas conservées indéfiniment. Chaque traitement doit avoir une durée de conservation définie en fonction de sa finalité, une fois expirée les données doivent soit être

supprimées, soit anonymisées, soit archivées de manière distincte si justifié. Ce principe de limitation de la conservation est l’un des piliers du RGPD. Sa mise en œuvre pratique requiert une vraie gouvernance des données.

Bonnes pratiques d’archivage :

• Planifier les durées dès le départ : Pour chaque catégorie de données traitées, le responsable de traitement doit fixer une durée de rétention conforme aux obligations légales ou aux besoins (ex : 10 ans pour des documents comptables, 2 ans pour des CV de candidats non retenus, etc.). Documentez ces durées dans le registre des traitements, les mentions d’information et la politique de conservation interne.
• Base active vs archive intermédiaire : La CNIL recommande de bien séparer la “base active” de la “base d’archivage”. Les données en base active sont celles utilisées au quotidien pour la finalité initiale, tandis que l’archivage intermédiaire contient les données qui ne sont plus utilisées opérationnellement mais qu’on conserve encore pour une obligation légale ou un intérêt administratif (par ex. conservation pendant X années pour se défendre en justice). Ces archives ne doivent être accessibles qu’à un nombre limité de personnes habilitées, et uniquement pour des motifs validés. Lorsque la durée légale/nécessaire expire, on procède à la suppression définitive ou anonymisation des données.
• Détruire ou anonymiser à échéance : À l’issue de la durée de conservation définie, les données personnelles doivent être supprimées ou rendues anonymes de manière sécurisée. Cela implique de prévoir des procédures d’effacement sécurisé (et de purge des copies, y compris dans les backups éventuellement). Si vous externalisez la destruction (par ex., destruction d’archives papier ou de disques), faites-le avec un prestataire sérieux et un contrat de sous-traitance conforme à l’article 28 du RGPD (incluant l’obligation de détruire les données en fin de mission). Tracez ces opérations (journal des purges, certificats de destruction) afin de pouvoir prouver la conformité.
• Exceptions et archivage définitif : Certaines données peuvent, pour des raisons historiques ou d’intérêt général, faire l’objet d’un archivage définitif (par ex. archives publiques). Ces cas particuliers obéissent à d’autres cadres juridiques et ne doivent pas être confondus avec l’archivage intermédiaire RGPD. De même, si une loi impose une conservation plus longue que la norme, elle prévaut (par ex. conserver 5 ans les bulletins de paie, obligation du Code du travail). L’important est de justifier chaque durée par un besoin ou une obligation réelle.

Sanctions notables

Le non-respect des durées de conservation peut exposer à des sanctions pour manquement au principe de limitation. Conserver indûment des données « au cas où » est illégal. Par exemple, la CNIL a sanctionné en 2025 un sous-traitant qui avait conservé une copie de 46 millions de données d’utilisateurs d’un client après la fin du contrat, au mépris de l’obligation de supprimer les données une fois la mission terminée. Ce manquement (violation de l’article 28-3-g, fin de contrat) a contribué à une amende d’un million d’euros pour l’entreprise fautive. On le voit, archiver ne doit pas rimer avec stocker indéfiniment : il faut savoir tourner la page des données arrivées en fin de vie, et le faire proprement !

Infogérance : encadrer les sous-traitants du SI dans le respect du RGPD

Le terme infogérance désigne l’externalisation de tout ou partie de la gestion du SI à un prestataire (société de services, hébergeur infogéré, etc.).

Dans de tels cas, ce prestataire manipulera souvent des données personnelles pour le compte de l’organisation : il devient alors un sous-traitant au sens du RGPD, et l’entité qui l’emploie reste responsable de traitement.

Le RGPD impose des obligations précises pour encadrer cette relation (article 28 notamment), afin de s’assurer que les données confiées à des tiers reçoivent le même niveau de protection.

• Choix du prestataire : Avant toute chose, il incombe au responsable de traitement de choisir un sous-traitant offrant des garanties suffisantes en matière de protection des données. Cela passe par une évaluation de sa compétence technique (ex. expertise en cybersécurité, capacité à gérer des incidents), de sa fiabilité, de ses ressources et éventuellement de ses certifications (adhésion à un code de conduite approuvé, certification RGPD, etc.). Ce devoir de diligence est crucial : même en cas de rapport de force inégal (un petit client face à un géant du cloud, par ex.), le responsable de traitement ne peut pas se dédouaner de ses obligations en acceptant aveuglément les conditions du prestataire. S’il souscrit à un service, il demeure responsable de la conformité et doit pouvoir démontrer qu’il a opéré un choix éclairé et conforme.
• Contrat de sous-traitance : Le RGPD exige qu’un contrat écrit lie le client et le sous-traitant, définissant clairement les instructions et obligations de chacun (art. 28-3). Ce contrat doit être plus qu’une reprise du texte du RGPD : il doit décrire concrètement comment le prestataire va respecter les exigences (sécurité, confidentialité, aide à l’exercice des droits, notification des violations, sort des données en fin de contrat…). Par exemple, le contrat précisera les mesures de sécurité attendues : chiffrement, journalisation des accès effectués par le prestataire, restrictions d’accès aux données, etc. Il doit aussi stipuler que le sous-traitant n’agira que sur instruction du client et qu’il détruira ou restituera toutes les données en fin de mission. Des clauses types publiées par la Commission Européenne ou des codes de conduite sectoriels peuvent guider la rédaction, mais il est recommandé d’adapter le contrat aux spécificités du traitement.
• Suivi et responsabilité partagée : Une fois le contrat signé, le travail n’est pas fini. Le client doit s’assurer tout au long du contrat que le prestataire respecte ses engagements. Cela peut inclure le droit d’auditer ou d’inspecter les mesures mises en place, l’obligation pour le prestataire de documenter ses activités (tenue d’un registre de traitement – les sous-traitants y sont aussi tenus, cf. art. 30), et de signaler toute violation de données sans délai. Notons que dans l’affaire mentionnée plus haut, le prestataire sanctionné n’avait pas respecté les instructions (il a copié/utilisé des données en dehors du cadre défini) et n’avait pas tenu de registre de ses traitements – autant de manquements aggravants.

Le responsable de traitement doit également formaliser en interne la répartition des rôles avec ses sous-traitants ou éventuels co-traitants. Il est conseillé de documenter l’analyse qui a conduit à la qualification “sous-traitant” ou “co-responsable” de chaque acteur, et de prévoir comment les obligations seront réparties en pratique (qui gère les demandes des personnes, qui notifie les failles, qui réalise l’AIPD le cas échéant). En cas de contrôle, la CNIL ne se contente pas du titre affiché : elle vérifiera la réalité des rôles et pourra requalifier les parties si nécessaire.

Bonnes pratiques et recommandations

• Due diligence : Conservez des éléments montrant que vous avez vérifié le sérieux du prestataire (questionnaires sécurité, audits, références, certification ISO 27001 ou SecNumCloud le cas échéant, etc.).
• Clauses indispensables : Assurez-vous que le contrat couvre tous les points requis par l’art. 28 : confidentialité du personnel du prestataire, mesures de sécurité, aide en cas d’exercice de droits ou d’incident, sort des données en fin de contrat, approbation des éventuels sous-sous-traitants, etc. En France, la CNIL propose des modèles et listes de clauses pour aider les PME à cet égard.
• Pendant le contrat : Gardez le contact avec le sous-traitant sur les questions de données : si vous modifiez des instructions, faites-le par écrit. Si le prestataire propose de nouvelles fonctionnalités affectant les données, évaluez leur impact. Prévoyez des points de contrôle réguliers (revue des rapports de sécurité, tests de reprise d’activité, etc.).
• Fin de contrat : Anticipez la restitution ou suppression des données. Par exemple, faites inclure une clause de certification de destruction et n’hésitez pas à demander une preuve (attestation) lorsque le contrat prend fin. Une part importante des violations de données survient lors de cessations de contrats mal gérées, où des données sont oubliées chez l’ex-prestataire.

Enfin, soulignons que la responsabilité en cas de manquement d’un sous-traitant est partagée : le sous-traitant fautif peut être sanctionné directement (la CNIL l’a démontré, y compris avec des amendes substantielles comme celle de 1 million € évoquée plus haut), et le client pourra aussi être mis en cause s’il n’a pas correctement rempli ses obligations (choix imprudent du prestataire, absence de contrat conforme, etc.).

L’infogérance n’est pas un transfert de risque : on externalise une activité, pas la responsabilité légale.

Outils de surveillance du SI : sécurité vs. respect des personnes

Les outils de surveillance recouvrent les dispositifs permettant de monitorer l’activité sur le SI. Cela inclut par exemple la vidéosurveillance des locaux IT, la géolocalisation de véhicules ou d’appareils, les systèmes de détection d’intrusion, de prévention des fuites de données (DLP), voire la surveillance de l’usage d’Internet par les employés.

Ces outils peuvent être précieux pour la sécurité du SI (détection de comportements anormaux, protection contre le vol, etc.), mais ils impliquent souvent un traitement de données personnelles (images de salariés, données de déplacement, logs de navigation…) et touchent donc au droit à la vie privée au travail. Le RGPD et, en France, le Code du travail encadrent strictement de tels dispositifs pour éviter toute dérive intrusive.

Cadre légal et principes

Par défaut, un employeur ne peut pas surveiller en permanence ses salariés. Toute surveillance doit poursuivre une finalité légitime et proportionnée. Par exemple, la sécurité des biens et des personnes ou la protection du réseau contre les cyberattaques sont des objectifs pouvant justifier certains contrôles, à condition qu’ils soient ciblés et non excessifs.

Le principe de minimisation s’applique : on ne doit collecter que les données nécessaires à l’objectif de sécurité poursuivi. Ainsi, filmer en continu un poste de travail sans raison exceptionnelle est interdit, de même que tracer en temps réel tous les déplacements d’un employé si une simple badgeuse ou un dispositif moins intrusif suffit.

Obligations RGPD et CNIL

• Information et transparence : Les personnes surveillées doivent en être clairement informées au préalable. Le Code du travail français (art. L1222-4) impose que « aucune information personnelle ne peut être collectée à l’insu du salarié ». Concrètement, cela passe par une note de service ou charte informatique expliquant les dispositifs en place (par ex. « les postes sont équipés d’un logiciel de filtrage web pour raisons de cybersécurité »). L’information doit décrire les finalités, les données collectées, la durée de conservation et les droits des employés. Un manquement à ce devoir de transparence a valu des sanctions à plusieurs entreprises en 2025.
• Consultation préalable : En France, installer des outils de surveillance des salariés (caméras, système de journalisation des activités, etc.) nécessite de consulter le CSE (instances représentatives du personnel) au préalable. C’est une étape essentielle pour assurer la légitimité du dispositif. La CNIL insiste sur ce point dans ses recommandations.
• Proportionnalité et limitation : Les données collectées ne doivent servir qu’à la finalité annoncée (ex : sécurité du SI) et pas à un usage caché comme l’évaluation disciplinaire des employés. Utiliser l’historique de navigation dans le but de noter la productivité ou de « fliquer » les horaires serait un détournement de finalité illégal et une atteinte à la vie privée. De même, la conservation des données de surveillance doit être limitée : la CNIL recommande par exemple de ne pas conserver des enregistrements vidéo inutilement longtemps, et de limiter à quelques mois les données techniques de connexion (sauf cas particuliers, cf. journalisation).
• Sécurité et accès restreint : Les informations issues de la surveillance (vidéos, logs détaillés, données GPS…) doivent être protégées contre les accès non autorisés. Seules des personnes habilitées, dans le cadre de leurs fonctions (responsable sécurité, RSSI, service conformité) devraient pouvoir y accéder, et uniquement pour les besoins du dispositif. Par exemple, les images de vidéosurveillance ne devraient pas être visionnées librement par n’importe quel manager. Dans son bilan 2025, la CNIL note un cas où des salariés non habilités pouvaient visionner des vidéos de surveillance en magasin – ceci a été sanctionné comme un manquement grave à la sécurité et à la confidentialité. Il faut donc mettre en place des contrôles d’accès stricts (mots de passe robustes, cloisonnement des accès) et une traçabilité des consultations de ces données.

Exemples de sanctions

La CNIL a multiplié les contrôles dans le domaine de la surveillance au travail. Sur les dix sanctions prononcées en procédure simplifiée début 2025, six concernaient des dispositifs de surveillance des salariés.

Des entreprises ont été épinglées pour vidéosurveillance permanente injustifiée, ou pour géolocalisation continue des véhicules au-delà du nécessaire. Les manquements relevés incluent une durée de conservation excessive des enregistrements, un défaut d’information des employés et même l’absence de coopération avec la CNIL lors des enquêtes. Les amendes sont restées modérées dans ces cas (quelques milliers d’euros chacune), mais le préjudice réputationnel et la mise en demeure publique sont dissuasifs. Surtout, ces décisions clarifient la ligne rouge à ne pas franchir : pas de surveillance généralisée ou clandestine, mais des mesures ciblées, justifiées et transparentes.

Bonnes pratiques

Pour concilier sécurité du SI et respect du RGPD, quelques recommandations ressortent :

• Rédigez une charte informatique détaillant ce qui est permis ou non (usage d’internet, équipements, etc.) et les contrôles possibles. Une charte claire facilite l’acceptation et peut être opposée au salarié en cas d’abus.
• Limitez la surveillance au strict nécessaire : Par exemple, si le but est d’empêcher les exfiltrations de données, un outil DLP peut être configuré pour détecter des envois de masse ou vers l’extérieur anormaux, sans pour autant tout enregistrer des activités bénignes.
• Impliquez le DPO et le CSE en amont : faites une analyse d’impact (AIPD) si le dispositif est susceptible d’être fortement intrusif, afin d’évaluer les risques sur les droits des personnes et les mesures pour les réduire.
• Formez et sensibilisez : souvent, la cybersécurité peut être renforcée par la sensibilisation plutôt que par la surveillance constante. Expliquez aux collaborateurs les menaces (phishing, etc.) et responsabilisez-les, afin de minimiser le besoin de surveillance corrective.

En résumé, les outils de surveillance du SI doivent être maniés avec parcimonie. Ils servent de filet de sécurité pour l’entreprise, non d’outil de contrôle permanent. En respectant le cadre légal (finalité légitime, transparence, proportionnalité), on peut améliorer la sécurité tout en préservant la confiance et les droits des utilisateurs du SI.

Hébergement des données : localisation, sécurité et conformité

La question de l’hébergement des données – c’est-à-dire où et par qui les données sont stockées – est centrale pour la conformité RGPD. Que l’on utilise un datacenter interne, un cloud public ou un prestataire d’hébergement infogéré, le responsable de traitement doit veiller à ce que cet hébergement garantisse la sécurité des données et le respect de la réglementation, en particulier concernant les transferts hors UE.

Sécurité de l’infrastructure

L’hébergeur, surtout s’il est considéré comme sous-traitant, doit offrir un environnement conforme à l’article 32 RGPD (sécurité des traitements). Cela inclut la sécurisation physique (contrôle d’accès aux locaux serveurs, protection contre les incendies, redondance électrique et réseau) et la sécurisation logique (isolation des environnements, chiffrement des données, sauvegardes redondantes…).

Le client doit s’informer et exiger un niveau de protection équivalent à celui qu’il aurait en interne. Par exemple, la CNIL recommande de chiffrer les données “au repos” et en transit dans le cloud, et de gérer les clés de chiffrement de façon appropriée. De même, la gestion des droits d’accès administrateurs chez l’hébergeur doit être rigoureuse (accès réservés, journalisés – on rejoint ici les exigences de journalisation et d’habilitation vues plus haut, qui doivent aussi s’appliquer chez le prestataire cloud).

Localisation et transfert des données

Un enjeu majeur est de savoir où les données sont stockées géographiquement et qui peut y accéder. Le RGPD n’interdit pas d’héberger des données en dehors de l’UE, mais encadre strictement ces situations. Il faut s’assurer d’avoir des garanties contractuelles et techniques si les données sortent de l’UE ou si l’hébergeur est soumis à des législations étrangères. Comme le souligne la CNIL, utiliser des services cloud sans garantie sur l’emplacement des données ni sur le cadre légal des transferts est une faute de conformité. Concrètement, cela signifie :

• Privilégier si possible un hébergement dans l’UE ou dans un pays adéquat (reconnu par la Commission européenne comme offrant un niveau de protection équivalent).
• Si ce n’est pas le cas, mettre en place des Clauses Contractuelles Types (CCT/SCC) avec l’entité importatrice de données et procéder à une analyse du contexte (les fameux Transfer Impact Assessments post-Schrems II) pour déterminer si des mesures supplémentaires sont nécessaires (chiffrement renforcé, etc.).
• Vérifier les conditions du contrat cloud quant aux accès par des autorités : certaines clauses peuvent permettre à l’hébergeur ou à des tiers d’accéder aux données (par ex. à des fins de maintenance ou de conformité à une loi locale). Une telle possibilité doit être connue et maîtrisée, au besoin refusée ou contournée (choix d’un fournisseur alternatif). La CNIL déconseille de signer les yeux fermés des contrats où le fournisseur se réserve un droit d’accès unilatéral aux données sans contrôle du client.

Responsabilité partagée

Dans le cloud, la sécurité est généralement partagée entre le fournisseur et le client. L’hébergeur doit maintenir l’infrastructure sûre, mais le client reste responsable de bien configurer son environnement (droits, mises à jour, sauvegardes…). Par exemple, si vous déployez des serveurs virtuels dans un cloud, c’est à vous de gérer les pare-feux applicatifs, les comptes utilisateurs, etc., tandis que le fournisseur gère la sécurité physique et réseau globale.

Une erreur de configuration côté client (ports ouverts, base de données non protégée par mot de passe) est une cause fréquente de fuites de données cloud. Il est donc essentiel d’appliquer dans le cloud les mêmes bonnes pratiques qu’on appliquerait on-premise.

La CNIL invite notamment à appliquer à l’infrastructure cloud toutes les précautions usuelles (chiffrement, contrôle des accès, sauvegardes multi-sites…) et à s’assurer que le niveau de sécurité dans le cloud n’est pas moindre que celui en local. Elle recommande aussi de cartographier précisément les traitements effectués dans le cloud, y compris les services SaaS utilisés par les métiers, afin d’avoir une vision claire des données concernées. Un oubli de “shadow IT” (application cloud non référencée) peut créer un angle mort de conformité.

Bonnes pratiques spécifiques

• Évaluer le prestataire cloud : tout comme pour l’infogérance, étudiez les garanties du fournisseur. Par exemple, l’existence d’un code de conduite européen approuvé (tel que le code CISPE pour les IaaS) ou d’une certification de sécurité (ISO 27017/27018, SecNumCloud en France) est un bon indicateur. D’ailleurs, pour les données très sensibles, la recommandation en France est de recourir à un fournisseur qualifié SecNumCloud par l’ANSSI ou équivalent, afin d’assurer une maîtrise totale (souveraine) de l’environnement. Pour les données de santé, la loi impose l’utilisation d’un hébergeur certifié HDS (Hébergement de Données de Santé).
• Intégrer le cloud à la gouvernance RGPD : inscrivez les services cloud dans votre registre de traitements, mentionnez-les dans vos analyses de risque et plans de continuité. Prévoyez les actions spécifiques en cas d’incident sur le cloud (ex : comment notifier une fuite si le fournisseur vous informe d’un incident ? qui prend la main pour informer les personnes concernées ?).
• Clauses contractuelles : Assurez-vous que votre contrat d’hébergement traite des questions clés : localisation des données (choix du ou des datacenters), mesure en cas de changement de localisation, engagement du fournisseur à notifier les violations de données, assistance en cas d’exercice de droits, effacement des données sur demande ou en fin de contrat, etc. Un bon contrat de cloud doit aussi aborder la chaîne de sous-traitance : si le fournisseur sous-traite certaines opérations (maintenance, support…), ces sous-traitants doivent être connus et soumis aux mêmes obligations (avec autorisation du client, conformément à l’art. 28-2).

Enjeux de souveraineté

Le contexte réglementaire évolue avec, parallèlement au RGPD, des textes comme la directive NIS2 sur la sécurité des réseaux. Celle-ci classifie d’ailleurs les fournisseurs cloud et opérateurs de data centers comme “entités essentielles” devant respecter des mesures de cybersécurité renforcées et des obligations de notification d’incident en 24/72h.

Pour les clients, cela signifie que la sécurité cloud va encore monter en exigence, et qu’il est prudent de s’aligner sur ces bonnes pratiques dès maintenant (gestion des risques, plans de reprise, audits réguliers, etc.).

Dans le même temps, les débats autour du Cloud Act américain et des arrêts Schrems poussent de nombreuses organisations à rapatrier ou héberger leurs données en Europe, pour éviter les incertitudes juridiques. La CNIL n’hésite plus à déclarer illégaux certains transferts (ex : utilisation de certains services US sans garanties suffisantes).

Ainsi, pour un responsable SI, opter pour un hébergement “local” (France/UE) peut simplifier grandement la conformité et réduire les risques. Comme l’exprime un fournisseur français, garder les données sous juridiction française apporte clarté et proximité, facilitant une conformité complète.

Conclusion

La conformité RGPD du système d’information ne se limite pas à de la paperasse juridique : elle se construit au quotidien dans la manière d’administrer la technique. Comme nous l’avons vu, chaque brique du SI – journaux, accès, sauvegardes, infogérance, surveillance, hébergement – comporte des enjeux spécifiques vis-à-vis de la protection des données personnelles. Les obligations légales se traduisent en bonnes pratiques de sécurité et de gouvernance que les DSI, RSSI, DPO et chefs de projet doivent intégrer dans leurs procédures. En synthèse, il s’agit de : journaliser pour se protéger tout en respectant la vie privée, gérer les accès de façon strictement limitée, sauvegarder efficacement sans oublier de purger en temps voulu, encadrer fermement les prestataires, surveiller sans espionner, et héberger en toute sécurité dans un cadre juridique maîtrisé.

Adopter ces principes permet non seulement de se conformer au RGPD (et d’éviter amendes ou remontrances des autorités), mais c’est aussi bénéfique pour la cybersécurité globale de l’organisation. Les recommandations de la CNIL et de l’EDPB convergent souvent avec les normes de sécurité informatique : ce qui protège la donnée personnelle protège généralement l’ensemble du SI. On notera d’ailleurs que la plupart des manquements sanctionnés (mots de passe faibles, absence de retrait d’accès, conservation illimitée, surveillance abusive…) auraient aussi pu causer des incidents ou atteintes à la réputation de l’entité. À l’inverse, les organisations exemplaires sur ces sujets réduisent significativement leurs risques de fuite, de fraude ou de non-conformité.

En conclusion, la gestion du SI à l’ère du RGPD requiert une approche équilibrée alliant sécurité, respect des droits humains et responsabilité. Il appartient aux professionnels du numérique de mettre en œuvre des mesures techniques et organisationnelles robustes tout en gardant à l’esprit le facteur humain et éthique. C’est à ce prix que le système d’information deviendra un atout de confiance, sécurisé et conforme, au service de la performance de l’organisation et de la protection des données de tous ses usagers. Les DSI, RSSI, DPO et chefs de projet ont là un beau défi à relever, et les bonnes pratiques évoquées dans cet article constituent une feuille de route pragmatique pour y parvenir dans le respect du RGPD.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus