Aller au contenu

Sekost

Logo Sekost by YesWeHack - Bleu
Flash offert
Accueil Règlementation RGPD : quelles obligations de cybersécurité pour votre PME ?

RGPD : quelles obligations de cybersécurité pour votre PME ?

En 2024, la CNIL a été notifiée de 5 629 violations de données personnelles, soit 20 % de plus qu’en 2023. Toutes les entreprises sont concernées : les PME et les TPE n’échappent pas à ce phénomène.

Or, chaque organisation est juridiquement responsable des données personnelles qu’elle collecte, traite et héberge. Le RGPD est un cadre réglementaire qui impose aux acteurs publics et privés de prendre des mesures pour protéger ces données personnelles… et de renforcer leur niveau de cybersécurité.

Dans cet article, vous découvrirez : 

  • les grands principes du RGPD,
  • les obligations de cybersécurité que cette réglementation impose,
  • les étapes à suivre pour mettre votre PME en conformité,
  • une liste de ressources officielles à consulter pour passer à l’action.
Le drapeau de l'union européenne sur un fond de 0 et de 1 pour illustrer le lien entre cybersécurité et RGPD
RGPD et cybersécurité : quelles obligations pour votre PME ?

Qu’est-ce que le RGPD ?

1.1  Introduction au règlement général sur la protection des données  : 

Le RGPD est un règlement européen qui encadre l’usage des données personnelles. Il a été adopté en 2016 et est applicable depuis le 25 mai 2018 dans tous les États membres de l’Union européenne. Son objectif est d’instaurer un cadre juridique unifié pour la protection des données dans l’UE.

En France, il complète et renforce la loi Informatique et Libertés, adaptée pour être cohérente avec ce règlement. En résumé, le RGPD décrit : 

  • comment votre entreprise peut utiliser ou non les données personnelles des individus,
  • vos obligations envers les personnes dont vous collectez et exploitez les données,
  • les mesures de sécurité à mettre en place pour protéger ces données.

Il comporte également des définitions qui précisent son contenu : 

  • Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Il peut s’agir d’un nom, d’une adresse e-mail professionnelle, d’un numéro de téléphone, d’une plaque d’immatriculation, ou encore d’une adresse IP.
  • Un traitement est toute opération réalisée sur ces données. Par exemple la collecte, l’enregistrement, la conservation, la consultation, la modification, la transmission ou la suppression de la donnée.

1.2 Qui est concerné par le RGPD ?

Le RGPD s’applique à toute organisation qui traite des données personnelles de résidents européens :

  • les entreprises privées, quelle que soit leur taille,
  • les acteurs publics,
  • les associations,
  • les collectivités.

Votre PME est donc concernée dès lors qu’elle exploite, par exemple :

  • un fichier clients ou un CRM,
  • des données de facturation,
  • des données RH comme le bulletin de paie,
  • des formulaires de contact en ligne,
  • de la vidéosurveillance qui permet d’identifier des personnes.

Le RGPD s’applique aussi aux entreprises situées en dehors de l’UE si elles traitent les données de citoyens européens.

1.3 Les grands principes du RGPD 

Le RGPD peut être résumé en quelques grands principes :

  • Ne collecter que les données vraiment nécessaires pour atteindre votre objectif. Chaque collecte de données doit avoir une finalité.
  • Faire preuve de transparence en informant les utilisateurs sur la collecte des données et leur utilisation.
  • Permettre aux utilisateurs d’exercer leur droit d’accès, de rectification ou de suppression des données.
  • Fixer des durées de conservation limitées dans le temps.
  • Sécuriser les données et identifier les risques.

1.4 Les sanctions en cas de manquement 

En cas de manquement, la CNIL (Commission Nationale de l’Informatique et des Libertés) peut :

  • vous mettre en demeure de corriger la situation,
  • limiter temporairement certains traitements,
  • prononcer une amende administrative.

Les amendes peuvent atteindre :

  • jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour le plafond le plus bas,
  • jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel pour le plafond le plus élevé,

La responsabilité personnelle du dirigeant peut être engagée en cas de manquement caractérisé ou de négligence grave dans l’organisation de la protection des données.

Quelles obligations de cybersécurité le RGPD impose-t-il à votre entreprise ?

2.1 Une obligation de sécurité proportionnée aux risques

Le RGPD vous impose de mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. C’est l’objet de l’article 32, qui impose un niveau de sécurité adapté au risque.

Ce niveau de sécurité doit être proportionné :

  • à la sensibilité des données,
  • aux usages que votre entreprise fait de ces données,
  • à la taille et aux moyens de votre entreprise.

Le texte vous demande :

  • d’identifier les principaux risques,
  • de choisir des mesures de sécurité adaptées à ces risques,
  • de documenter ces choix.

2.2 Contrôler les accès aux données personnelles

Vous avez l’obligation de limiter l’accès aux données personnelles aux seules personnes habilitées, dans le cadre de leurs fonctions. Cela implique :

  • de mettre en place une gestion structurée des droits d’accès aux données,
  • de définir des profils d’accès par rôle, par exemple commercial, RH, etc.,
  • de limiter strictement chaque profil aux données nécessaires à l’accomplissement de ses missions.

En parallèle, vous devez aussi déployer des mécanismes d’identification et d’authentification des utilisateurs qui accèdent aux systèmes de traitement des données. Ces mécanismes peuvent prendre la forme : 

  • de mots de passe robustes (longs et comportant des caractères spéciaux),
  • d’une authentification multi-facteur pour les accès aux applications contenant des données personnelles.

Enfin, il est impératif de tenir à jour les habilitations, par exemple en révoquant systématiquement les accès des collaborateurs qui quittent votre entreprise.

2.3 Protéger la confidentialité et l’intégrité des données

Le RGPD vous impose de prévenir :

  • la divulgation non autorisée de données personnelles à des tiers,
  • la destruction, la perte ou l’altération non autorisée des données,
  • l’indisponibilité prolongée des données qui pourrait nuire aux personnes et à votre activité.

Cela se traduit par plusieurs obligations.

Protéger la confidentialité des données

  • assurer le chiffrement des données pour les rendre illisibles si elles venaient à être interceptées,
  • restreindre les liens de partage des documents afin de prévenir les accès non-autorisés,
  • séparer les espaces de travail par équipe ou par projet pour éviter de donner des accès trop larges.

Assurer l’intégrité et la disponibilité des données

  • journaliser les accès aux applications critiques ainsi que les actions sensibles, comme l’export massif de données ou la suppression de comptes,
  • effectuer des sauvegardes régulières des données personnelles importantes,
  • définir une procédure de restauration des données, et la tester régulièrement.

Gérer les violations de données

Les articles 33 et 34 du RGPD prévoient une obligation de notification des violations de données personnelles à la CNIL dans les 72 heures après en avoir eu connaissance ainsi qu’aux personnes concernées si le risque est élevé pour elles.

4 étapes pour mettre votre PME en conformité RGPD sur le volet cybersécurité

3.1 Étape 1 : cartographier les données personnelles et auditer votre niveau d’exposition

Avant toute chose, il est essentiel de cartographier l’ensemble des données personnelles qui sont collectées, traitées et stockées par votre entreprise. Ce travail préliminaire vous servira de base pour adopter des mesures de protection adaptées à la réalité de votre PME.

Dans un second temps, il convient de réaliser un audit de cybersécurité afin d’évaluer le risque qui pèse sur les données personnelles que vous traitez. Dans cette optique, vous pouvez utiliser un outil comme Sekost pour effectuer un premier diagnostic afin de cerner votre surface d’exposition et d’identifier les principales vulnérabilités à corriger.

3.2 Étape 2 : privilégier la mise en place des mesures de sécurité indispensables

Quelques mesures simples peuvent être adoptées à l’échelle de votre PME pour renforcer la sécurité des données sans investir des sommes trop importantes :

  • adopter des mots de passe forts, et les renouveler régulièrement pour ériger un premier rempart autour de vos données,
  • mettre en place une authentification forte pour vérifier l’identité de chaque personne qui effectue une demande de connexion,
  • effectuer des sauvegardes régulières des données afin de pouvoir les restaurer rapidement en cas de perte ou d’altération,
  • mettre régulièrement à jour vos systèmes et vos applications pour éviter d’exposer les données via des vulnérabilités,
  • privilégier des solutions qui assurent le chiffrement des données pour préserver leur confidentialité.

3.3 Étape 3 : Sensibiliser les collaborateurs aux bonnes pratiques à respecter

Une partie importante des incidents de sécurité vient de comportements quotidiens. C’est pourquoi le respect du RGPD passe aussi par une maîtrise des usages. Voici quelques bonnes pratiques que vous pouvez partager avec vos collaborateurs : 

  • ne pas se connecter aux réseaux publics, qui peuvent être utilisés pour intercepter les données de ceux qui s’y connectent,
  • séparer les usages personnels et professionnels, par exemple en évitant de stocker des données de l’entreprise sur des terminaux personnels,
  • choisir un mot de passe fort,
  • être vigilant face au risque de phishing en vérifiant l’identité de la personne qui vous demande par email de partager des informations, de cliquer sur un lien ou de télécharger une pièce-jointe.

L’ensemble des comportements à adopter ou à éviter peuvent être formalisés dans une politique de sécurité mise à disposition de l’ensemble des collaborateurs.

Réunion en cours dans une entreprise
Définir une politique globale de gestion des risques est une étape fondamentale pour se mettre en conformité

3.4 Étape 4 : anticiper la gestion d’une violation de données

Le risque zéro n’existe pas. Se conformer au RGPD implique de savoir comment réagir en cas de violation de données. 

L’idéal est d’anticiper ce type de situation en définissant une procédure type à respecter. Celle-ci doit décrire le rôle de chacun au sein de l’entreprise ainsi qu’une liste de personnes à contacter en priorité (le dirigeant, les prestataires informatiques…). Il est également possible de concevoir une “fiche réflexe” qui récapitule les étapes clés en cas de suspicion de fuite : constater le problème, rassembler les premières informations, limiter les dégâts, conserver les preuves utiles.

RGPD :  les ressources à votre disposition

Pour aider les TPE à s’adapter au RGPD, plusieurs organismes publics proposent des guides très accessibles et opérationnels. Nous vous invitons à consulter :

Conclusion

Si votre PME traite des données personnelles, elle est automatiquement concernée par le RGPD. Cette obligation réglementaire est en réalité une opportunité : celle de renforcer votre niveau de protection face aux cybermenaces qui visent de plus en plus les PME. Dans cette optique, votre entreprise peut atteindre un niveau de sécurité satisfaisant en avançant par étape et en privilégiant des mesures de sécurité faciles et rapides à mettre en place.

une jauge graduée du vert au rouge foncé qui point vers le rouge clair

Besoin d’un audit cyber ?

Notre équipe identifie les failles avant les attaquants. 100% à distance, sans rien installer.

Demander un audit gratuit