Guides & Ressources pratiques
DPO externalisé : guide pratique
Sécurité des données : définition juridique, obligations RGPD et NIS2 pour les entreprises
Points clés de l'article
- La sécurité des données est une obligation juridique distincte de la sécurité informatique : elle impose de protéger les données personnelles par des mesures techniques et organisationnelles proportionnées au risque.
- L'article 32 du RGPD et la directive NIS2 forment deux cadres complémentaires : le premier vise les données personnelles, le second cible la résilience des systèmes d'information des entités critiques.
- Les mesures obligatoires varient selon la taille de l'entreprise, son secteur et la sensibilité des données traitées : pseudonymisation, chiffrement, tests de résilience, journalisation des accès.
- Une violation de données personnelles doit être notifiée à la CNIL sous 72 heures. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
- Structurer la conformité suppose une gouvernance partagée entre DSI, direction juridique et direction générale, avec une cartographie des risques et des procédures documentées.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce que la sécurité des données ? Définition juridique
Sécurité des données vs sécurité informatique : les différences à connaître
Le cadre légal : article 32 du RGPD et directive NIS2
Les mesures techniques et organisationnelles obligatoires
Violations de données : obligations de notification et sanctions CNIL
Comment structurer la sécurité des données dans votre entreprise
Qu'est-ce que la sécurité des données ? Définition juridique
La sécurité des données désigne, en droit, l'ensemble des mesures techniques et organisationnelles destinées à protéger les données personnelles contre la destruction, la perte, l'altération ou l'accès non autorisé. Cette définition est posée par l'article 32 du règlement général sur la protection des données (RGPD), applicable dans l'Union européenne depuis mai 2018.
Le texte ne prescrit pas une liste figée de dispositifs. Il impose un résultat : garantir un niveau de sécurité adapté au risque. Ce risque s'évalue en fonction de la nature des données (données de santé, données financières, données d'identification), du volume traité, des finalités du traitement et des conséquences potentielles d'une violation pour les personnes concernées.
En pratique, cette obligation pèse sur le responsable de traitement — l'entreprise qui détermine les finalités et les moyens du traitement — et sur ses sous-traitants. Elle s'applique à toute organisation qui traite des données personnelles, quelle que soit sa taille. Un cabinet comptable de 15 salariés et un groupe industriel du CAC 40 sont soumis au même principe, mais pas aux mêmes exigences concrètes : le RGPD raisonne en proportionnalité.
Ce que recouvre la notion en droit français
La CNIL a précisé cette obligation dans ses recommandations et ses décisions de sanction. Elle évalue la conformité à travers 3 axes : la confidentialité (qui accède aux données), l'intégrité (les données sont-elles fiables et non altérées) et la disponibilité (les données restent-elles accessibles en cas d'incident). Ces 3 critères structurent l'ensemble du raisonnement juridique applicable à la sécurité des données en France.
Sécurité des données vs sécurité informatique : les différences à connaître
La confusion entre sécurité informatique et sécurité juridique des données est fréquente dans les entreprises. Elle génère des angles morts de conformité, car les deux notions ne couvrent pas le même périmètre.
La sécurité informatique — ou cybersécurité — vise à protéger les systèmes d'information contre les menaces techniques : intrusions, malwares, déni de service, exploitation de vulnérabilités. Elle relève de la DSI et s'appuie sur des outils (firewalls, EDR, SIEM) et des référentiels techniques (ISO 27001, guide ANSSI).
La sécurité des données au sens juridique englobe cette dimension technique, mais y ajoute des exigences organisationnelles et de gouvernance : politique d'habilitation, clauses contractuelles avec les sous-traitants, registre des traitements, analyse d'impact relative à la protection des données (AIPD), procédure de notification des violations.
| Critère | Sécurité informatique | Sécurité juridique des données |
|---|---|---|
| Objet protégé | Systèmes d'information | Données personnelles |
| Cadre de référence | ISO 27001, guide ANSSI | RGPD (art. 32), directive NIS2 |
| Responsable principal | DSI / RSSI | Responsable de traitement (direction générale) |
| Périmètre | Technique | Technique + organisationnel + contractuel |
| Sanction en cas de manquement | Pas de sanction réglementaire directe | Jusqu'à 20 M€ ou 4 % du CA mondial (CNIL) |
Un pare-feu correctement configuré ne suffit pas à démontrer la conformité. Si l'entreprise ne peut pas prouver qu'elle a évalué les risques, documenté ses choix et formé ses collaborateurs, elle reste exposée à une sanction.
La frontière entre sécurité technique et conformité juridique des données se structure en amont, avec un cadre adapté à votre organisation.
Échanger avec un avocat spécialisé en cybersécurité
Le cadre légal : article 32 du RGPD et directive NIS2
Deux textes européens encadrent aujourd'hui la sécurité des données dans les entreprises françaises. Ils ne se substituent pas l'un à l'autre : ils se complètent.
L'article 32 du RGPD : une obligation générale de moyens renforcée
L'article 32 impose au responsable de traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles « appropriées » pour garantir un niveau de sécurité adapté au risque. Le texte cite 4 mesures à titre indicatif : la pseudonymisation, le chiffrement, la capacité à garantir la confidentialité, l'intégrité et la disponibilité des systèmes, et la capacité à rétablir l'accès aux données en cas d'incident.
L'appréciation du caractère « approprié » tient compte de l'état de l'art, des coûts de mise en œuvre, de la nature du traitement et des risques pour les droits des personnes. En 2024, la CNIL a prononcé 87 mises en demeure et 42 sanctions, dont plusieurs portaient sur des défauts de sécurité : mots de passe stockés en clair, absence de chiffrement des flux, défaut de journalisation des accès.
La directive NIS2 : un cadre sectoriel pour les entités critiques
La directive NIS2, adoptée en décembre 2022, élargit le périmètre de la directive NIS1 de 2016. Elle s'applique aux entités essentielles (énergie, transports, santé, infrastructures numériques) et aux entités importantes (services postaux, gestion des déchets, industrie alimentaire, fabrication de dispositifs médicaux). En France, la transposition est en cours et devrait concerner environ 15 000 entités selon l'ANSSI.
NIS2 impose des obligations de gestion des risques cyber, de notification des incidents significatifs sous 24 heures (alerte initiale) puis 72 heures (rapport détaillé), et de responsabilité des organes de direction. Les sanctions prévues atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.
| Texte | Champ d'application | Objet | Sanction maximale |
|---|---|---|---|
| RGPD – art. 32 | Toute organisation traitant des données personnelles | Protection des données personnelles | 20 M€ ou 4 % du CA mondial |
| Directive NIS2 | Entités essentielles et importantes (secteurs désignés) | Résilience des systèmes d'information | 10 M€ ou 2 % du CA mondial |
Pour une entreprise du secteur de la santé qui traite des données de patients, les deux textes s'appliquent simultanément. Les mesures techniques peuvent se recouper, mais les obligations de notification, les autorités compétentes (CNIL pour le RGPD, ANSSI pour NIS2) et les régimes de sanctions diffèrent.
Les mesures techniques et organisationnelles obligatoires
Le RGPD ne fournit pas de checklist universelle. Les mesures exigées dépendent du contexte de chaque entreprise. Toutefois, la jurisprudence de la CNIL et les lignes directrices du Comité européen de la protection des données (CEPD) permettent d'identifier un socle commun.
Mesures techniques
- Chiffrement des données au repos et en transit (TLS 1.2 minimum pour les flux, AES-256 pour le stockage)
- Pseudonymisation des jeux de données utilisés en environnement de test ou d'analyse
- Gestion des accès : authentification multifacteur (MFA), principe du moindre privilège, revue trimestrielle des habilitations
- Journalisation des accès aux données sensibles avec conservation des logs pendant 6 mois minimum
- Sauvegardes régulières, testées et stockées sur un environnement distinct du système principal
- Tests de résilience : tests d'intrusion annuels, plans de continuité et de reprise d'activité (PCA/PRA)
Mesures organisationnelles
- Politique de sécurité des données formalisée et validée par la direction générale
- Registre des traitements à jour (article 30 du RGPD)
- Analyse d'impact (AIPD) pour les traitements à risque élevé
- Clauses contractuelles de sécurité dans les contrats avec les sous-traitants (article 28 du RGPD)
- Sensibilisation des collaborateurs : au moins une session annuelle sur les risques liés aux données personnelles
- Désignation d'un DPO (obligatoire pour les organismes publics, les traitements à grande échelle et le traitement de données sensibles)
Identifier les mesures juridiquement exigibles selon votre secteur et votre taille nécessite une analyse croisée entre droit des données et architecture SI.
Consulter un avocat en cybersécurité
Violations de données : obligations de notification et sanctions CNIL
Une violation de données personnelles est définie par l'article 4 du RGPD comme une faille de sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles. En 2023, la CNIL a reçu 4 668 notifications de violations, soit une hausse de 14 % par rapport à 2022.
Procédure de notification
Lorsqu'une violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, le responsable de traitement doit notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance (article 33 du RGPD). Si la violation présente un risque élevé, les personnes concernées doivent également être informées directement (article 34).
La notification doit contenir : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou envisagées pour y remédier.
Sanctions
La CNIL dispose d'un pouvoir de sanction gradué : avertissement, mise en demeure, injonction sous astreinte, amende administrative. En 2023, elle a prononcé 42 sanctions pour un montant cumulé de 89 millions d'euros. Parmi les manquements les plus fréquemment sanctionnés figurent le défaut de sécurité (article 32), le défaut de notification (article 33) et l'insuffisance des mesures techniques.
L'amende maximale pour un défaut de sécurité atteint 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En janvier 2024, la CNIL a sanctionné une entreprise française à hauteur de 800 000 euros pour un défaut de chiffrement et une absence de politique de gestion des mots de passe.
Comment structurer la sécurité des données dans votre entreprise
La conformité ne se décrète pas par l'achat d'un outil. Elle se construit par une gouvernance documentée, partagée entre la DSI, la direction juridique et la direction générale.
Étape 1 : cartographier les traitements et les risques
Le point de départ est le registre des traitements (article 30 du RGPD). Il permet d'identifier les données traitées, les bases légales, les destinataires et les mesures de sécurité existantes. Pour chaque traitement, une évaluation du risque doit être conduite. Les traitements à risque élevé (profilage, données de santé, vidéosurveillance) nécessitent une AIPD.
Étape 2 : définir les mesures proportionnées
Sur la base de la cartographie, l'entreprise détermine les mesures techniques et organisationnelles adaptées. Le choix doit être documenté : pourquoi telle mesure a été retenue, pourquoi telle autre a été écartée (analyse coût/risque). Cette documentation constitue la preuve de conformité en cas de contrôle.
Étape 3 : contractualiser avec les sous-traitants
Tout prestataire qui traite des données personnelles pour le compte de l'entreprise doit être encadré par un contrat conforme à l'article 28 du RGPD. Ce contrat précise les obligations de sécurité, les conditions de sous-traitance ultérieure, les modalités d'audit et les obligations en cas de violation.
Étape 4 : tester, auditer, améliorer
La sécurité des données n'est pas un état figé. Elle suppose des tests réguliers (tests d'intrusion, exercices de crise), des audits internes ou externes, et une mise à jour continue des mesures en fonction de l'évolution des menaces et de l'état de l'art.
Structurer votre conformité RGPD et NIS2 avec un accompagnement juridique adapté à votre secteur permet d'anticiper les contrôles et de réduire l'exposition aux sanctions.
Trouver un avocat en cybersécurité
FAQ
La sécurité des données concerne-t-elle uniquement les grandes entreprises ?
Non. L'article 32 du RGPD s'applique à toute organisation qui traite des données personnelles, quelle que soit sa taille. Les mesures exigées sont proportionnées au risque : une PME de 50 salariés n'a pas les mêmes obligations qu'un groupe international, mais elle doit démontrer qu'elle a évalué les risques et mis en place des mesures adaptées.
Quelle est la différence entre le RGPD et la directive NIS2 en matière de sécurité ?
Le RGPD protège les données personnelles et s'applique à toutes les organisations. La directive NIS2 vise la résilience des systèmes d'information et ne concerne que les entités essentielles et importantes de secteurs désignés (énergie, santé, transports, infrastructures numériques). Les deux textes peuvent s'appliquer simultanément à une même entreprise.
Que risque une entreprise qui ne notifie pas une violation de données à la CNIL ?
Le défaut de notification constitue un manquement à l'article 33 du RGPD. Il expose l'entreprise à une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. La CNIL peut également prononcer une injonction de mise en conformité assortie d'une astreinte journalière.
Un audit de cybersécurité suffit-il à prouver la conformité RGPD ?
Non. Un audit technique (test d'intrusion, scan de vulnérabilités) couvre la dimension informatique, mais pas les exigences organisationnelles et contractuelles du RGPD : registre des traitements, AIPD, clauses sous-traitants, politique de gestion des accès, procédure de notification. La conformité suppose une approche combinée, technique et juridique.
Comment savoir si mon entreprise est concernée par la directive NIS2 ?
NIS2 s'applique aux entités essentielles et importantes selon des critères de secteur d'activité et de taille. En France, l'ANSSI estime qu'environ 15 000 entités seront concernées. Les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans les secteurs visés (énergie, santé, numérique, transports, eau, espace, alimentation) doivent vérifier leur éligibilité sur le site de l'ANSSI.
Pour aller plus loin
Guide de la sécurité des données personnelles 2024 - CNIL
Sécurité des données - CNIL Cybersécurité
La directive NIS - cadre de coopération européen - ANSSI
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
