Publicité en cours de chargement...
En direct du 7ème congrès de l’Apssis : réflexions de Claranet sur certaines obligations HDS
Sur le chiffrement des données, il est fait référence à certaines délibérations de la Cnil qui incitent au chiffrement sans qu’il s’agisse d’une obligation légale, sauf dans quelques cas particuliers (dossier pharmaceutique, déclaration de certaines pathologies aux autorités) qui le rendent obligatoire.
Il faut garder en mémoire que le chiffrement n’est pas une fin en soi, mais une réponse à un risque. Il constitue, par exemple, une bonne réponse à un risque de fuite d’une donnée largement accessible sur Internet, mais n’est qu’une réponse partielle (et souvent inefficace) à une malveillance interne d’un administrateur système : la protection contre la malveillance des adminsys exige de mettre en place des systèmes complexes tels les mots de passe à quorum.
La conclusion de cette partie de la conférence – le chiffrement annule ou réduit les obligations de déclaration auprès des personnes en cas de fuite de données – est intéressante, mais avec deux bémols : d’une part l’expérience démontre que les fuites sont généralement dues aux administrateurs système eux-mêmes (cf. l’affaire Ashley Madison) ou à des attaques au cours desquelles les clés de chiffrement ont aussi été récupérées ; rien ne dit d’autre part que les données chiffrées et inintelligibles aujourd’hui le seront encore dans cinq ans.
Globalement, une entreprise n’a pas plus l’obligation de chiffrer les données pour les protéger des administrateurs que de mettre des limiteurs de vitesse sur les véhicules de service pour prévenir les excès de vitesse de ses employés : il s’agit d’une obligation de respecter la loi, qui doit certes être rappelée dans les chartes et les profils de poste, et qui exonère l’institution en présence d’une faute détachable du service. Ce qui ne veut pas dire que le chiffrement est inutile, mais simplement qu’il ne peut répondre à tous les types de risque.
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...