Qu’est-ce qu’une donnée ? La notion même de « donnée » a nécessité un effort de définition. Selon l’article 2 du Data Governance Act, la donnée s’entend comme « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels ».
Pour les données personnelles, c’est-à-dire les données qui permettent d’identifier une personne, on connait bien le règlement général de protection des données ou RGPD la réglementation européenne introduite en 2018 dont l’objectif est la protection de ces données personnelles, en particulier sur l’Internet. C’est grace à ce règlement que nous avons le choix de partager ou pas nos données (et aussi grace a lui qu’on nous propose des cookies partout). La transposition du règlement est laissée libre dans chaque pays de l’Union Européenne et en France, c’est à la Commission Informatique et liberté qu’il revient de mettre en oeuvre le règlement et leur plan stratégique 2022-2024 contenait quelques recommendations liées au RGPD. En 2025, de nouvelles orientations paraissent.
Pour le reste des données, l’enjeu est plutôt de faciliter la mise en place d’un marche de la donnée et pour cela, une autre réglementation a vu le jour et entrera en vigueur en septembre, le data act : “une loi destinée à renforcer l’économie des données de l’UE et à favoriser un marché des données concurrentiel en rendant les données (en particulier les données industrielles) plus accessibles et utilisables”.
Nouvelles règles RGPD en vigueur en 2024
La CNIL a publié en 2022 leur plan stratégique pour prendre en compte les nouveaux enjeux liés à la numérisation croissante de la société, en particulier après la pandémie qui a accéléré le mouvement. En 2024, ils ont renforcé leur guide de sécurité des données personnelles avec les mesures suivantes :
- Utilisation de service dans le cloud numérique : les entreprises doivent évaluer leur fournisseurs de service cloud et s’assurer qu’ils respectent le RGPD (localisation des données, referent RGPD, procedure de suppression des données, adresse de contact, etc).
- Collecte de données par les applications mobiles : les applications se doivent de limiter leur collecte de données au minimum et d’avoir une gestion transparentes des permissions. Des mesures difficiles a mettre en oeuvre sur un marché mondial des applications.
- Amélioration de la sécurité des application web et de leur API en particulier en suivant les conseils de l’OWASP (cf ci-dessous)
- Intelligence artificielle : contrôle de la qualité des données produites et information sur le modèle utilisé.
Ce que montre les deux dernières mesures, c’est que la protection des données personnelles se comprend dans un sens plus large qui inclus la sécurité informatique des systèmes numériques ou bien le contrôle des données générées.
A propos des recommendations de l’OWASP, ce sont des mesures de salubrités publiques qui méritent d’être diffusées. Voici un résumé de leur top10 de 2021 :
Les recommendations de OWASP
L’OWASP (Open Worldwide Application Security Project) est une fondation à but non lucratif dont l’objectif est améliorer la sécurité des applications web. Ils proposent un top 10 https://owasp.org/Top10/ des problèmes de sécurité les plus frequents et/ou problématiques ainsi que des recommendations pour les éviter. Le dernier top (2021) liste des problèmes suivants :
- Mauvaise gestion des contrôles d’accès, mauvaise granularité des autorisations, routes sans contrôles, identification trop laxiste. Le problème le plus récurrent.
- Problème de cryptographie : absence de cryptographie ou utilisation d’algorithme obsolètes et trop faibles, certificats auto-générés, etc.
- Injection de code : utiliser un champs texte pour transmettre du code. La plus célèbre étant de mettre du code SQL dans un identifiant. Chaque chaîne de caractère doit être protégée pour éviter qu’elle puisse être interprétée
- Problème d’architecture ou de design, une catégorie un peu fourre tout qui dénonce plus les problèmes potentiels provoques par une mauvaise architecture, mais qui ne débouchent pas forcement sur un problème de sécurité.
- Mauvaise configuration de sécurité : modules non nécessaires, mauvaise politique de gestion de mots de passe, pas de mises à jour, etc.
- Composants (dépendances) vulnérable et pas à jour : pas de mises à jour, dépendances abandonnées, mauvaise compatibilité.
- Mauvaise gestion des identifications : pas de protections contre les attaques automatiques, mots de passe pas assez forts ou bien pas mis à jour, pas d’identification à facteur multiple, etc.
- Intégrité des logiciels et des données : concerne les attaques pouvant avoir lieu pendant le processus de mises à jour ou bien pendant le processus d’integration continue.
- Manque de journalisation et de surveillance : si des événements n’apparaissent pas dans les journaux de l’application, ou bien si ces journaux ne sont pas surveillés.
- Falsification de requête serveur : lorsque la connexion entre une application et une ressource est faussée par les données utilisateurs fournies.
Nouvelles règles RGPD 2025
Si l’intégralité de règlement 2025 n’est pas encore connu, de grandes orientations se détachent déjà pour les nouvelles règles RGPD en 2025 :
- Le renforcement de la protection des données personnelles. Les intrusions récentes et les vols de données personnelles ont montres qu’il est nécessaire améliorer la protection des données personnelles. Note : il y a obligation de déclaration à la CNIL des vols de données en cas de risque pour la vie privée, ils sont donc bien informés sur ce sujet.
- Protection des accès numériques : choisir de bons mots de passe, pas toujours les memes, sauvegarder les données pour éviter les rancongiciels, sécuriser et mettre à jour ses appareils, etc.
- Un nouveau tour de vis sur la collecte de données personnelles par les applications mobiles, qui récupèrent plus de données que nécessaire et pas toujours de manière transparente. L’objectif serait d’avoir une meilleure granularité des permissions pour éviter de consentir a tout afin de pouvoir utiliser le service. Une campagne de contrôle sera lancée au premier semestre.
- et encore un renforcement des sanctions en cas de non-respect de la réglementation.
Réglementation DORA sur les services financiers
Il n’y a pas que le RGPD qui contraint a améliorer la sécurité des données. Début 2025, la réglementation sur la résilience opérationnelle numérique DORA (pour Digital Operational Resilience Act) est entree en vigueur. Le règlement DORA crée un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux technologies de l’information et de la communication (TIC).
La conséquence, c’est que si vous fournissez un service à un opérateur financier, alors vous devez vous engagez toutes les informations nécessaires pour qu’il puisse estimer votre résilience numérique. Vous devrez également vous entendre sur un contrat de service avec engagement sur la qualité de service, délai de resolution des problèmes et pénalités en cas de non-respect. Et cela, c’est meme valable pour les partenaires non-stratégiques.
La loi sur les données (Data act)
La loi sur les données a été votée en 2023 et sera applicable le 12 septembre 2025. Il s’agit : “d’une loi destinée à renforcer l’économie des données de l’UE et à favoriser un marché des données concurrentiel en rendant les données (en particulier les données industrielles) plus accessibles et utilisables, en encourageant l’innovation fondée sur les données et en augmentant la disponibilité des données.”
et pour cela, ce règlement : “garantit une répartition équitable de la valeur des données entre les acteurs de l’économie fondée sur les données. Il précise qui peut utiliser quelles données et dans quelles conditions.“
Les objectifs sont :
- faciliter le partage des données émanant d’objets connectés en contrepartie d’une compensation juste, équitable et proportionnée ;
- autoriser les organismes publics des États membres et les institutions de l’Union européenne à avoir un accès ainsi qu’un droit d’utilisation de ces données à condition de pouvoir justifier d’un besoin exceptionnel ;
- établir des règles de coopération internationale en matière de transmission des données non personnelles ;
- lutter contre les accès illicites à ces données et notamment contre les intrusions de gouvernements de pays tiers.
En pratique, l’objectif est de réduire ce qui limite la circulation des données :
- la non-distribution de ces données par les entreprises qui les possèdent
- les coûts liés au manque d’inter-opérabilité et à la dispersion des données
- des contrats favorisant les partenariats avec les géants du numériques
Si la mise en place d’un marché de la données est intéressant, il reste a trouver les modèles économiques viables pour éviter que la puissance publique se substitue aux acteurs économiques en finançant a perte le marché de la donnée. Nous verrons ce que ce règlement va changer face aux géants du numérique.
