Le régulateur définit enfin ce qu’est une donnée sensible, et pose un référentiel pour le privé
Introduction : La précision décisive tient au caractère cumulatif des conditions d’assujettissement. L’obligation ne s’applique qu’aux données réunissant à la fois une sensibilité particulière et un risque caractérisé d’atteinte. Une donnée sensible par nature, mais sans risque d’atteinte avéré n’entre pas mécaniquement dans le périmètre, et inversement. Ce double critère introduit une logique d’analyse de risque, là où la doctrine antérieure procédait par catégories. Il oblige chaque entité à qualifier ses traitements au cas par cas, plutôt qu’à appliquer une grille uniforme… Ce mouvement national contraste avec l’hésitation européenne. Le schéma de certification de cybersécurité des services cloud porté par l’Union, dans sa version finale, a renoncé à un critère d’immunité aux lois extraeuropéennes comparable à celui de SecNumCloud, laissant la France en pointe sur l’exigence souveraine. Cet écart place les organisations françaises dans une position particulière, plus protégées par le cadre national, mais aussi les seules en Europe à le porter, dans un marché unique où la majorité des fournisseurs et des concurrents ne sont pas tenus aux mêmes obligations. Le décret du 14 avril renforce donc une singularité française autant qu’il comble un retard.
Note du rédacteur : On va dans la bonne direction !