[FIC 2025] "Le respect du RGPD est en deçà de ce qu'il faudrait faire pour assurer une sécurité suffisante"

L'Usine Digitale : Dans le secteur de la sécurité informatique, la Commission nationale de l'informatique et des libertés (Cnil) a une double casquette : accompagner mais aussi sanctionner, en cas de violation de l'obligation de sécurité (article 32) notamment. Quelles sont les conséquences pratiques de ce positionnement ?"

Gaston Gautreneau : De mon côté, en tant qu'ingénieur, je ne suis pas du tout dans la partie répressive, à laquelle non seulement je n'appartiens pas, mais auprès de laquelle je ne travaille pas. Je suis en charge des sujets de cybersécurité de façon transverse, sur des domaines extrêmement variés, de l'inclusion numérique jusqu'aux services des Armées, et sur tout un tas de sujets, avec des populations bien évidemment très différentes. Le but étant d'améliorer la protection des données, à caractère personnel, qui est la responsabilité de la Cnil en France. Au sein de l'institution, il y a cette séparation nécessaire pour créer la confiance. 

Dans son rôle d'accompagnement, que propose concrètement la Cnil ? 

Elle publie notamment des recommandations qui servent au plus grand nombre, à savoir non seulement les éditeurs pour qu'il y ait une mise en œuvre de solutions qui soient garantes de la protection des données et de la défense des libertés individuelles, mais également les entreprises, les organismes publics qui déploient et plus largement permettre de donner une conscience, une connaissance autour de ces enjeux-là au public, qu'il soit utilisateur, citoyen, numérique ou employé de l'entreprise ou d'un organisme qui est amené à utiliser ces solutions. 

Par exemple, à l'occasion du ForumInCyber, la Cnil a publié une recommandation sur l'authentification multifacteur afin de promouvoir des solutions de cybersécurité conformes au RGPD. Dans ce cadre, elle a échangé avec Hexatrust, le Cesin et le Clusif. Pour ne citer qu'eux. 

Les entreprises craignent-elles encore les sanctions de la Cnil, ou sont-elles désormais conscientes de l'importance de se protéger des cyberattaques ? 

Je pense que le niveau de maturité des entreprises et des organisations sur ces sujets-là augmente. Le deuxième élément est qu'il y a évidemment une conscientisation par rapport à l'évolution de la menace qui, je dirais, est naissante ou est réelle chez certains secteurs, mais pas chez tous. Mais, globalement, il y a une méconnaissance de cette évolution et du besoin de sécurité qui m'amène à dire aux entités qui nous rétorquent que le Règlement général sur la protection des données est une contrainte énorme est que l'obligation de sécurité est en deçà de ce qu'il faudrait faire pour assurer une sécurité suffisante. 

Aujourd'hui, le réalisme nécessite de prendre en compte le fait que ce n'est pas la régulation qui fait la réelle raison de ce besoin mais plus la réalité du monde dans lequel on vit d'une extrême numérisation. Nous sommes vraiment passés sur des systèmes qui sont ouverts et qui sont donc compliqués à traiter en termes de cybersécurité. 

Constatez-vous un changement dans les entités accompagnées d'un point de vue organisationnelle ? Est-ce que les délégués à la protection des données (DPO) échangent-ils davantage avec les responsables informatiques (DSI, RSSI...) ?

Moi, typiquement, je ne parle pas qu'aux DPO. J'ai souvenir d'une caricature publiée dans le New Yorker qui concernait le CISO et le board de l'entreprise dans une cantine avec deux tables. Le CISO était à la table des enfants et le board à la table des adultes. Des personnes disaient au RSSI "maintenant tu peux venir à notre table". Je pense que le lien qui existe entre les aspects technologiques et les enjeux métiers nécessite encore aujourd'hui beaucoup de sensibilisation.

Il existe aussi des freins qui peuvent être liés à la culture d'entreprise : en fonction du positionnement de la DSI, la protection des données peut être uniquement pilotée par la partie juridique, et elle est, de ce fait, très distante des entités techniques. Ainsi, les entités techniques n'ont pas forcément tous les éléments de cybersécurité. Or, aujourd'hui la réponse à ces enjeux là n'est pas uniquement une réponse technique, mais c'est une réponse tant technique que de gouvernance, contractuelle et juridique. Elle nécessite une approche pluridisciplinaire.

Les données à caractère personnel sont particulièrement protégées par le RGPD. Qu'en est-il des données stratégiques, dans le domaine industriel notamment ? Pensez-vous qu'il faudrait leur réserver le même traitement, dans le contexte actuel de montée des tensions géopolitiques ? 

Je ne répondrais pas forcément au titre de la Cnil, car cela sort du périmètre de ses responsabilités. En effet, il y a des questions autour de ces enjeux-là. En revanche, est-ce que le RGPD est le bon support pour intégrer ces données ? A mon sens, ce n'est pas l'enjeu de ce texte. On voit qu'il y a une multiplication des réglementations dans la cybersécurité, en particulier au niveau sectoriel. C'est plus de cette façon qu'il faut voir les choses, c'est-à-dire une couverture spécifique liée à cette catégorie de données, plutôt que le développement d'une régulation existante. 

De votre point de vue, quelle est l'une des menaces les plus importantes des prochaines années ? 

Il y a besoin d'un véritable regard critique par rapport à l'approche de l'outil numérique, notamment des applications et des réseaux sociaux. En effet, ils nourrissent les jeunes publics sans qu'ils aient le réflexe de croiser les sources d'information, ainsi que de vérifier  la provenance de l'information. Il faut ajouter à cette problématique l'alimentation des modèles d'IA générative : les modèles sont eux-mêmes alimentés par des données générées par des IA génératives. Ce qui provoque une perte de la qualité des données. 

Nous rentrons vraiment dans une ère où les jeunes publics doivent être sensibilisés très tôt sur la qualité et la véracité des informations ainsi que sur l'importance de développer un cheminement critique autour de ces sujets.