ISGroup Conseil en Cybersécurité

Interaction de la directive NIS2 avec d’autres réglementations de l’UE, telles que le RGPD

La directive NIS2 n’existe pas de manière isolée, mais s’inscrit dans un cadre réglementaire plus large de l’UE, interagissant avec d’autres réglementations, notamment le Règlement général sur la protection des données (RGPD).

[Callforaction-NIS2]

Les documents mettent en évidence plusieurs aspects clés de cette interaction :

1. Reconnaissance explicite de la prééminence du RGPD :

  • Article 1, paragraphe 1 : L’objectif principal de la directive est d’établir un niveau élevé et commun de cybersécurité au sein de l’UE “afin d’améliorer le fonctionnement du marché intérieur”. Cette approche souligne que les objectifs de cybersécurité de la NIS2 ne doivent pas compromettre d’autres principes fondamentaux de l’UE, y compris la protection des données.
  • Article 6, paragraphe 12 : Il établit explicitement que la NIS2 s’applique “sans préjudice” de nombreux règlements existants de l’UE, en mentionnant en premier lieu le RGPD. Ce langage clair établit une hiérarchie précise, affirmant que les principes du RGPD relatifs à la protection des données ont la priorité en cas de conflit ou de chevauchement avec la NIS2.

2. Traitement des données dans le cadre de la NIS2 soumis au RGPD :

  • Article 8, paragraphe 14 : Il souligne que toute activité de traitement de données effectuée dans le contexte de la NIS2, que ce soit par des entités ou par des autorités compétentes, doit respecter le RGPD. Cette disposition met en évidence que les mesures de cybersécurité doivent être mises en œuvre de manière à respecter les droits des individus en matière de protection des données.
  • Article 8, paragraphe 14 (emphase ajoutée) : Il s’adresse spécifiquement au traitement des données par les fournisseurs de services de communications électroniques publics ou de réseaux de communications électroniques accessibles au public au sens de la NIS2. Il établit que ce traitement doit être conforme au cadre réglementaire plus large de l’UE relatif à la protection des données et à la confidentialité, en citant spécifiquement la directive 2002/58/CE (directive ePrivacy).

3. Coopération entre les autorités compétentes et les autorités de protection des données :

  • Article 29, paragraphe 3 : Il reconnaît que les incidents de cybersécurité peuvent également entraîner des violations de données personnelles couvertes par le RGPD. Pour garantir une gestion coordonnée et efficace de ces incidents, cette disposition impose une coopération étroite entre les autorités compétentes responsables de la NIS2 et les autorités de protection des données (autorités de contrôle au sens du RGPD).
  • Clarification des rôles : Tout en exigeant la coopération, l’article 29, paragraphe 3 précise que cette interaction ne doit pas compromettre les compétences et les tâches respectives de chaque autorité. Les autorités de contrôle du RGPD conservent leur rôle principal de supervision dans l’application des règles de protection des données, même dans les cas impliquant des enjeux de cybersécurité.
  • Article 35 : Il renforce davantage le lien entre la NIS2 et le RGPD en définissant une procédure spécifique pour les situations où les autorités compétentes détectent des violations potentielles de données personnelles lors de la supervision ou de l’application des obligations de la NIS2.

4. Partage des données et confidentialité :

  • Divulgation limitée d’informations confidentielles : L’article 2, paragraphe 13 reconnaît que le partage d’informations sur la cybersécurité pourrait entraîner la divulgation d’informations protégées par d’autres réglementations de l’UE ou nationales, telles que les secrets commerciaux. Il autorise le partage de ces informations avec la Commission et d’autres autorités compétentes exclusivement aux fins de l’application de la directive et uniquement dans la mesure nécessaire.
  • Protection des informations confidentielles : Lorsque des informations sont partagées, l’article 2, paragraphe 13 impose des garanties pour protéger la confidentialité des informations partagées et préserver les intérêts commerciaux des entités concernées.

5. Implications pour les pratiques de cybersécurité :

  • Protection des données dès la conception et par défaut : Bien que non mentionné explicitement, l’interaction entre la NIS2 et le RGPD renforce l’importance d’intégrer les considérations relatives à la protection des données dans les mesures de cybersécurité dès le départ. Les entités qui entament un parcours structuré de conformité à la directive NIS2 devraient adopter une approche de “protection des données dès la conception et par défaut” lors de la mise en œuvre des pratiques de gestion des risques de cybersécurité.
  • Minimisation des données : Le principe de minimisation des données du RGPD est également pertinent dans le contexte de la NIS2. Les entités doivent veiller à ce que toute collecte et tout traitement de données personnelles à des fins de cybersécurité soient limités à ce qui est strictement nécessaire et proportionné aux risques identifiés.

En résumé, la directive NIS2 reconnaît et respecte l’importance de la protection des données. Elle établit clairement que ses dispositions ne prévalent pas sur le RGPD et impose la coopération entre les autorités compétentes en matière de cybersécurité et de protection des données. Cette interaction souligne la nécessité d’une approche équilibrée, garantissant que les mesures de cybersécurité sont mises en œuvre de manière à atténuer efficacement les risques, tout en protégeant les droits des individus en matière de protection des données. Pour approfondir le cadre réglementaire global, il est utile de consulter également quel est l’objectif principal de la directive NIS2 et les échéances opérationnelles liées à la liste ACN.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *