Votre SPST emploie plus de 50 salariés. Vous traitez des données de santé par milliers. Vous êtes déjà soumis au RGPD, déjà accompagné par un DPO. Et voilà que la directive NIS 2, en cours de transposition via la loi Résilience, vient ajouter une couche d’obligations en matière de cybersécurité.
La question n’est plus de savoir si vous êtes concerné. La question est : êtes-vous prêt à gérer un incident qui déclenche deux obligations de notification en parallèle, auprès de deux autorités différentes, dans des délais différents, avec des interlocuteurs différents ?
Deux autorités, deux logiques, un seul incident
Prenons le scénario le plus probable : une cyberattaque touche votre système d’information. Des données personnelles de salariés suivis sont compromises. Que se passe-t-il ?
Côté RGPD, vous devez notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation. C’est le DPO qui pilote cette notification, qui évalue la gravité, qui décide s’il faut informer les personnes concernées.
Côté NIS 2, vous devez notifier l’ANSSI dans un délai de 24 heures pour l’alerte initiale, puis fournir un rapport détaillé sous 72 heures. C’est le RSSI (ou le responsable de la sécurité des systèmes d’information) qui porte cette obligation, sous la responsabilité de la direction.
Deux notifications. Deux autorités. Deux chaînes de responsabilité. Et pourtant, c’est le même incident.
Le DPO ne contacte pas l’ANSSI. Et le RSSI ne contacte pas la CNIL.
C’est le point central qu’il faut comprendre. La répartition des rôles est claire :
Le DPO est le point de contact pour la protection des données personnelles. Il évalue l’impact sur les droits et libertés des personnes, il pilote la notification CNIL, il documente la violation dans le registre des violations, il recommande ou non la communication aux personnes concernées.
Le RSSI (ou la personne désignée comme référent cybersécurité) est le point de contact pour la sécurité des systèmes d’information. Il gère la réponse technique à l’incident, il coordonne avec l’ANSSI, il documente l’incident selon les exigences NIS 2.
La direction reste responsable in fine des deux obligations. C’est elle qui engage la responsabilité de l’entité, que ce soit devant la CNIL (jusqu’à 20 millions d’euros ou 4 % du CA) ou devant l’ANSSI (jusqu’à 10 millions d’euros ou 2 % du CA pour les entités essentielles).
Mais si les rôles sont distincts, les deux processus doivent impérativement être coordonnés. Et c’est là que les choses se compliquent pour les SPST.
Pourquoi les SPST sont particulièrement exposés
Dans la majorité des SPST, le RSSI n’existe pas en tant que tel. La fonction est souvent portée par le responsable informatique, quand elle n’est pas tout simplement absente de l’organigramme. Le DPO externe, lui, connaît le RGPD mais n’a pas toujours la visibilité sur les procédures techniques de gestion d’incident.
Résultat : en cas d’incident, personne ne sait exactement qui appelle qui, dans quel ordre, avec quelles informations.
C’est précisément cette zone grise qui crée le risque. Non pas le risque technique (l’attaque a déjà eu lieu), mais le risque de non-conformité réglementaire : un retard de notification, une notification incomplète, une absence de coordination entre les deux canaux.
Ce qui doit changer dans vos procédures
La PGSSI-S doit intégrer le volet NIS 2
La Politique Générale de Sécurité des Systèmes d’Information de Santé de votre SPST ne peut plus se limiter aux exigences historiques. Elle doit désormais intégrer les obligations de notification NIS 2 : délais, contenu de l’alerte initiale, modalités du rapport détaillé, identification du point de contact ANSSI.
Concrètement, cela signifie que la PGSSI-S doit prévoir une section dédiée décrivant le processus de notification ANSSI, les personnes habilitées à déclencher cette notification et l’articulation avec la procédure RGPD.
La procédure de gestion des violations de données doit être réécrite
Votre procédure actuelle prévoit probablement un circuit unique : détection, évaluation, notification CNIL, communication aux personnes. Ce circuit doit devenir un circuit double :
À la détection de l’incident, deux évaluations sont menées en parallèle. La première, portée par le DPO, évalue l’impact sur les données personnelles et décide de la notification CNIL. La seconde, portée par le référent cybersécurité, évalue l’impact sur les systèmes d’information et décide de la notification ANSSI. Les deux évaluations doivent partager une base factuelle commune, mais elles répondent à des critères différents.
Un point de coordination doit être désigné
Le DPO et le RSSI (ou le référent cybersécurité) ne peuvent pas travailler en silo. La procédure doit prévoir un point de coordination, idéalement la direction générale ou le responsable qualité, qui s’assure que les deux canaux sont activés, que les informations sont cohérentes et que les délais sont respectés.
DPO PARTAGE : la veille qui anticipe, l’accompagnement qui structure
Chez DPO PARTAGE, nous n’avons pas attendu la promulgation de la loi Résilience pour alerter nos clients SPST. Dès l’ouverture du portail MonEspaceNIS2 par l’ANSSI, nous avons informé chaque structure accompagnée de ses obligations à venir.
Parce que c’est cela, la veille RGPD. Ce n’est pas simplement surveiller les délibérations de la CNIL. C’est anticiper l’impact de chaque évolution réglementaire sur le quotidien de nos clients. La directive NIS 2 n’est pas une obligation « RGPD » au sens strict. Mais elle impacte directement la manière dont le DPO exerce sa mission, dont les procédures de violation de données sont rédigées, dont la gouvernance des risques est organisée.
Pour chacun de nos clients SPST, nous avons engagé un travail concret :
Alerte et sensibilisation de la direction sur les nouvelles obligations NIS 2 et leur articulation avec le RGPD.
Révision de la procédure de gestion des violations de données pour intégrer le circuit de notification ANSSI en parallèle du circuit CNIL.
Mise à jour de la PGSSI-S pour y inclure les exigences de gouvernance et de notification issues de NIS 2.
Identification du référent cybersécurité au sein de la structure, en lien avec le DPO, pour garantir une réponse coordonnée en cas d’incident.
Le DPO externe : un rôle pivot dans la transition NIS 2
Le DPO n’a pas vocation à remplacer le RSSI. Il n’a pas vocation à notifier l’ANSSI. Mais il a une responsabilité essentielle : s’assurer que la gouvernance des données personnelles et la gouvernance de la cybersécurité ne fonctionnent pas en parallèle sans se parler.
Dans un SPST de taille intermédiaire, le DPO externe est souvent la seule personne qui a une vision transversale des risques réglementaires. C’est lui qui voit que la procédure de violation de données est obsolète. C’est lui qui constate que personne n’a encore vérifié le statut de l’entité sur le simulateur ANSSI. C’est lui qui sait que les délais de notification NIS 2 sont plus courts que ceux du RGPD et que cela change tout dans la gestion de crise.
C’est pour cette raison que le rôle du DPO ne peut pas se limiter à la conformité RGPD. Il doit être le gardien de la cohérence réglementaire.
