Le chiffrement est une mesure de sécurité bien connue et efficace appliquée par les professionnels de l'IT du monde entier pour s'assurer que les données personnelles ne font pas l'objet d'un accès ou d'une divulgation non autorisés. Toutefois, depuis l'adoption du Règlement général sur la protection des données (RGPD) de l'UE en mai 2018, le chiffrement peut également être perçu comme un concept juridique à plusieurs niveaux qui tire parti de la protection des données et de la vie privée. Commençons par dissiper une partie de la confusion qui entoure ce concept, avant d'examiner ses implications pour votre stratégie de sécurité.
Pour que le GDPR s'applique, il est nécessaire qu'il s'agisse de données personnelles. Cela signifie que les données doivent se rapporter à une personne physique et permettre d'identifier directement ou indirectement une personne. Pour comprendre la relation entre le GDPR et le cryptage, prenons également en compte le fonctionnement du cryptage. En tant que méthode mathématique, il transforme des données lisibles (texte en clair) en un ensemble de caractères illisibles (texte chiffré), protégeant ainsi ces données contre ceux qui ne sont pas autorisés à y accéder. Cela soulève évidemment la question de savoir si les données cryptées peuvent être considérées comme des données à caractère personnel.
Les données cryptées sont des données à caractère personnel
Certains ont fait valoir que les données cryptées devraient être traitées comme des données anonymes et, à ce titre, exclues du GDPR, puisqu'elles ne permettent pas d'identifier une personne sans la possession et l'utilisation d'une clé de décryptage. D'autres ont affirmé qu'il ne s'agirait de données personnelles que pour ceux qui possèdent effectivement une telle clé, car eux seuls peuvent voir les informations dans leur format original - c'est-à-dire : lisible. Ainsi, elles seules sont en mesure d'identifier la personne à laquelle les données se rapportent.
Ces avis partagés ont donné lieu à des débats dans le monde juridique. Mais comme cette question juridique a également été résolue, nous pouvons enfin faire la lumière sur cette affaire et confirmer que les données cryptées doivent également être considérées comme des données personnelles. Et qu'elles doivent également être traitées comme telles. Le raisonnement qui sous-tend cette conclusion juridique est que les données cryptées, bien que masquées, peuvent toujours être ramenées à leur forme originale et donc conduire à l'identification d'une personne.
Ce critère d'identifiabilité, dans un contexte juridique, a été développé par la Cour de justice de l'UE (CJUE) dans l'affaire Breyer. La Cour a déclaré que, s'il existe une possibilité de menace ou de vulnérabilité externe ou interne, obtenir une clé de décryptage, décoder les données et être en mesure d'identifier même indirectement une personne est suffisant pour que le GDPR s'applique. Par conséquent, votre organisation doit tenir compte du fait que le traitement de données cryptées la fait entrer dans le champ d'application du GDPR.
Impact au-delà de la sécurité : de la protection des données aux droits de l'homme
Le cryptage doit être compris avant tout comme une mesure de sécurité. Toutefois, son impact va bien au-delà de la sécurité. Il joue un rôle important, par exemple, dans l'interconnexion de la sécurité, de la vie privée et de la protection des données, qu'il contribue à promouvoir. Et compte tenu de sa fonctionnalité, il n'est pas vraiment surprenant que le chiffrement lui-même ait été reconnu comme une mesure puissante de protection des données dans le cadre du GDPR.
Il existe divers types de cryptage, du symétrique à l'asymétrique, tout comme il existe une grande variété d'applications cryptographiques. Vous pouvez déployer le chiffrement sur vos appareils, vos réseaux, vos disques de stockage, ou simplement sur vos données elles-mêmes. En d'autres termes, le cryptage vous permet de contrôler l'accès autorisé à vos données et de protéger ces dernières contre les attaques malveillantes et autres exploitations (telles que l'espionnage, la surveillance ou l'interférence illégale des communications) pendant leur transmission, leur traitement et leur stockage.
Le cryptage protège non seulement vos systèmes et réseaux informatiques contre les activités susceptibles de compromettre la confidentialité de vos données ou services, mais il garantit également vos droits humains fondamentaux, tels que le droit à une vie privée et à une communication privée. De plus, en convertissant nos données en une forme intelligible, il protège également d'autres libertés, comme le droit à la liberté d'expression, d'information et d'opinion. Enfin, il permet aux individus de vivre dans un environnement sûr, à l'abri des persécutions politiques et religieuses.
Combiner l'expertise technique et juridique
C'est là que la combinaison de compétences juridiques et techniques devient cruciale pour le succès de votre organisation dans le déploiement de mesures de cryptage. En tant qu'entreprise, pour pouvoir garantir le traitement sécurisé de vos données, vous souhaiterez qu'un intégrateur de bout en bout, vous conçoive une solution sur mesure. Mais surtout, vous voudrez que cet intégrateur s'engage pleinement à vous construire un cyberespace de confiance, plus sûr et plus résilient en combinant expertise technique et juridique.