Aspects légaux et Normes en cybersécurité

PorteurManon Knockaert (UNamur)
Chercheurs· Manon Knockaert (Umanur)
· Elise Delhaise (Unamur)
· Kaori Hagiara (UCLouvain)
· Hosam Elkoulak (Unamur)
ObjectifsConformité aux réglementations en vigueur pour le traitement des données et la sécurité
EnjeuxCompréhension des normes et standards juridiques pour le traitement des données à caractère personnel pour les chercheurs du domaine informatique
ChallengesLes chercheurs dans le domaine de l’informatique et de la cybersécurité manipulent quotidiennement des données, impliquant alors de prendre en compte des considérations juridiques. Parmi celles-ci, un nombre non négligeable d’informations peuvent être considérées par la réglementation européenne comme des données à caractère personnel. Le RGPD met en place un principe de responsabilisation tout au long du traitement de la donnée à caractère personnel. Le traitement est défini comme toute opération appliquée à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (Art 4. 2 du RGPD).

Le principe de responsabilisation, nécessitant du responsable du traitement qu’il prenne en compte protection des données à caractère personnel par défaut dès la conception, doit alors être appliqué à toutes les étapes de développement et de mise à jour d’un logiciel ainsi qu’à toutes les étapes du cycle de vie de la donnée. De plus, le RGPD n’exclut pas le sous-traitant, agissant pour le responsable du traitement, de toute responsabilité et en fait également un acteur clé dans la protection des données à caractère personnel et leur sécurité. Le principe de responsabilisation implique également, pour le responsable du traitement, d’être capable de démontrer sa conformité aux normes législatives. Dans cette perspective, les processus de labellisation et de certification sont des éléments importants, reconnus à certaines conditions par le RGPD, pour démontrer le respect de la protection des données par défaut et dès la conception. La matière est d’actualité avec, notamment, la récente proposition de règlement de la Commission européenne pour une Europe interopérable.

Face à une telle situation, le défi est de parvenir à une rencontre et une compréhension entre le monde informatique et le monde juridique.

Pour ce faire, une première étape est d’expliquer, de manière vulgarisée mais précise, les différents aspects de la réglementation aux chercheurs en informatique. En ce sens, des fiches thématiques ont déjà été réalisées pendant la première année du projet et portent notamment sur privacy by design, protection des données à caractère personnel dans la recherche scientifique, principe de minimisation, attribution des responsabilités dans le traitement des données, processus de compliance, la notion de données à caractère personnel, le principe de transparence, le respect des droits des personnes concernées, les analyses d’impact et les analyses de sécurité des données à caractère personnel ainsi que les principes de finalités et de licéité et les traitements de données à caractère personnel sensibles. D’autres fiches thématiques seront réalisées au fur et à mesure du projet.

Une seconde étape est d’élaborer, par étape de cycle de vie d’un logiciel et de la donnée, des « check-lists » de conformité afin de rassurer le chercheur. Ces « check-lists » doivent avoir pour objectif d’accompagner les fiches thématiques explicatives avec une méthodologie pas à pas d’implémentation de ces fiches et des exigences juridiques. En outre, ce défi permet également de se concentrer sur l’interaction du RGPD avec d’autres législations (NIS II, Data Governance Act, Data Act, CyberSecurity ACt, Cyber Resilience Act, etc.), notamment sur les obligations de sécurité et de notification d’incidents. Ce défi encourage également un travail collaboratif entre les chercheurs en sciences juridiques et les chercheurs en sciences informatiques afin que ces derniers puissent exprimer leurs besoins et leurs questionnements.
Solutions
possibles
Sujets clésCertification, protection des données à caractère personnel, sécurité
Principaux secteurs impactés
ParticipantsUNamur, CETIC, MULTITEL