RGPD et cybersécurité PME — obligations et mise en conformité
Le RGPD impose aux entreprises traitant des données personnelles de mettre en place des mesures de sécurité techniques et organisationnelles appropriées. En cas de violation de données (cyberattaque, fuite), l'entreprise a des obligations de notification strictes. Le non-respect expose à des amendes pouvant atteindre 4 % du CA mondial.
Obligations de sécurité
Les mesures techniques recommandées par la CNIL incluent : chiffrement des données sensibles, contrôle des accès (principe du moindre privilège), journalisation des accès, mises à jour régulières des logiciels, sauvegarde et plan de reprise d'activité, et sécurisation des échanges (HTTPS, chiffrement des e-mails). Ces mesures doivent être documentées dans le registre des traitements.
Notification des violations de données
En cas de violation de données personnelles, l'entreprise doit notifier la CNIL dans les 72 heures si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. Si le risque est élevé, les personnes concernées doivent également être notifiées directement. L'absence de notification aggrave les sanctions.
Questions fréquentes
Une cyberattaque sans vol de données nécessite-t-elle une notification CNIL ?
Si une cyberattaque a entraîné une perte de disponibilité des données (ransomware qui chiffre sans exfiltration), cela constitue une violation de données au sens du RGPD. La notification à la CNIL est requise si le risque pour les personnes est avéré. L'évaluation du risque doit être documentée.
Les PME ont-elles les mêmes obligations RGPD que les grandes entreprises ?
Les obligations de fond sont identiques mais le RGPD prévoit une proportionnalité des mesures selon la taille et les risques. Une PME traitant peu de données sensibles peut avoir des mesures moins élaborées qu'un grand groupe. Mais les obligations de notification et de registre des traitements s'appliquent à toutes dès le premier employé.
Comment se préparer à une notification CNIL en 72h ?
Préparer en avance : désigner un responsable de la gestion des incidents, avoir un modèle de notification CNIL, disposer d'une liste des traitements de données pour évaluer rapidement les impacts, et tester la procédure lors d'exercices. Le portail de notification en ligne de la CNIL est disponible 24h/24.
