Phylapp
Chiffrement et protection des données sensibles

De la protection technique à la responsabilité organisationnelle

Le chiffrement engage une responsabilité organisationnelle : absences ou insuffisances peuvent être retenues lors d'audits ou de sanctions. La gouvernance exige des rôles définis, une documentation maintenue et une accountability étendue aux sous-traitants.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 14 lectures

Points clés

  • Le chiffrement est une décision technique qui engage une responsabilité organisationnelle — son absence ou son insuffisance peut être invoquée en cas de litige ou d'audit réglementaire.
  • La gouvernance du chiffrement nécessite des rôles définis : propriétaires de données, Key Custodians, RSSI, DPO — avec des responsabilités distinctes et documentées.
  • La documentation des choix cryptographiques est un actif de conformité — elle doit être maintenue à jour et accessible lors des audits.
  • La responsabilité organisationnelle s'étend aux sous-traitants : un donneur d'ordre peut être tenu responsable des défaillances de protection chez ses prestataires.
Cas EU British Airways (2018) — La CNIL britannique (ICO) a prononcé une amende de 20 millions de livres pour exposition des données de paiement de 500 000 clients. La décision a notamment retenu l'insuffisance des mesures techniques de protection — incluant le chiffrement — comme facteur aggravant de la sanction.

Du choix technique à l'engagement de responsabilité

Décider de ne pas chiffrer certaines données, d'utiliser un algorithme obsolète ou de ne pas mettre en place une gestion formelle des clés n'est pas seulement un choix technique — c'est une décision qui engage la responsabilité de l'organisation. En cas d'incident, les autorités de régulation, les clients et les partenaires examineront si les mesures de protection en place correspondaient à l'état de l'art et aux obligations réglementaires applicables.

Le RGPD impose des "mesures techniques et organisationnelles appropriées" sans définir de standard cryptographique précis — mais les recommandations des autorités de contrôle (CNIL, EDPB) et les précédents de sanctions documentent progressivement ce qu'est une protection considérée comme "appropriée". L'absence de chiffrement sur des données personnelles de catégories spéciales (santé, opinions politiques, données biométriques) constitue dans la plupart des cas une insuffisance caractérisée.

La gouvernance du chiffrement : rôles et responsabilités

Une gouvernance du chiffrement efficace repose sur des rôles clairement définis. Le propriétaire des données (Data Owner) est responsable de la classification et des exigences de protection associées. Le Key Custodian (ou équipe) est responsable de la génération, du stockage sécurisé, de la rotation et de la révocation des clés. Le RSSI supervise la politique cryptographique et valide les choix techniques. Le DPO (Délégué à la Protection des Données) évalue la conformité des choix de protection au regard des obligations légales.

La séparation des rôles est un principe fondamental : la personne qui génère les clés ne doit pas être la même que celle qui y accède pour les opérations de chiffrement, et celle qui audite ne doit pas être celle qui opère. Ce principe de double contrôle — hérité de la gestion des codes nucléaires — est désormais une bonne pratique documentée pour les systèmes critiques.

Documentation des choix cryptographiques

La documentation des décisions cryptographiques est un actif de conformité souvent négligé. Lors d'un audit, la capacité à présenter un document Cryptographic Standards and Guidelines (parfois appelé Crypto Policy ou Encryption Standard) qui précise les algorithmes approuvés, les longueurs de clés minimales, les protocoles autorisés et les cas d'exception documentés est un signal fort de maturité.

Cette documentation doit être versionnée et maintenue à jour. Chaque dérogation à la politique standard doit être documentée avec la justification technique, le responsable signataire, la date de revue prévue et les compensations en place. Un document de politique cryptographique obsolète de trois ans est presque aussi problématique que l'absence de politique.

Cas US Uber (2016) — Uber a payé 148 millions de dollars pour régler les poursuites liées à une violation de données touchant 57 millions d'utilisateurs. La dissimulation de l'incident pendant un an a été sanctionnée séparément. L'enquête a révélé des défaillances dans la protection des identifiants d'accès au stockage cloud, stockés sans chiffrement dans un dépôt de code accessible.

La responsabilité étendue aux sous-traitants

Le RGPD (article 28) et des réglementations sectorielles (NIS2, DORA) établissent clairement que le responsable de traitement reste responsable de la protection des données même lorsqu'elles sont traitées par un sous-traitant. Les clauses contractuelles (DPA — Data Processing Agreement) doivent spécifier les exigences de chiffrement applicables au sous-traitant, les mécanismes de vérification (audits, certifications) et les obligations de notification en cas d'incident.

La due diligence lors de la sélection d'un prestataire traitant des données sensibles doit inclure une évaluation de ses pratiques cryptographiques. Les certifications ISO 27001, SOC 2 Type II, ou les labels de sécurité sectoriels fournissent des garanties documentées, mais ne dispensent pas d'une évaluation des exigences spécifiques liées aux données confiées.

Traçabilité et accountability

L'accountability — la capacité à démontrer la conformité et pas seulement à l'affirmer — est le fondement de la responsabilité organisationnelle en matière de protection des données. Les journaux d'audit des opérations cryptographiques (accès aux clés, opérations de chiffrement/déchiffrement, rotations), conservés de manière intègre et suffisamment longue, constituent la preuve de l'exercice de cette responsabilité.

Cas Asie Cathay Pacific (2018) — La compagnie aérienne a exposé les données de 9,4 millions de passagers. Les investigations ont révélé des défaillances dans la protection technique des bases de données et un retard de 7 mois dans la notification publique. Les régulateurs ont retenu l'insuffisance des mesures organisationnelles de surveillance des protections en place.

Articles similaires

Le chiffrement est souvent la dernière ligne de défense des organisations

Dans les architectures modernes, le chiffrement est la dernière barrière entre une compromission de périmètre et une exfiltration de données exploitable. Comprendre les scénarios où il constitue effectivement la dernière ligne de défense conditionne les décisions d'architecture sécurité.

24 mai 2026 7 min

Pourquoi de nombreuses données sensibles restent non protégées

La plupart des violations de données exploitent des données sensibles non chiffrées — non par ignorance de la technologie mais par accumulation de décisions organisationnelles qui ont laissé des lacunes dans la couverture de chiffrement. Identifier les mécanismes de ces lacunes est la première étape pour les corriger.

24 mai 2026 7 min

Les erreurs fréquentes dans la mise en place du chiffrement

Le chiffrement mal déployé offre une protection illusoire — parfois plus dangereuse que son absence, parce qu'il donne une fausse assurance sans réduire le risque réel. Les erreurs de déploiement suivent des patterns précis que les équipes sécurité doivent connaître pour les éviter.

24 mai 2026 7 min
WhatsApp