RGPD, DORA, NIS2 : Anticipez vos obligations en sécurité

Les réglementations en matière de sécurité des données se multiplient. Elles deviennent plus strictes. Et surtout, plus précises. Le RGPD n’est plus seul. DORA arrive pour le secteur financier. NIS2 renforce les exigences pour les secteurs critiques. En parallèle, les cyberattaques explosent. En 2023, le nombre de failles déclarées a augmenté de 20 % en Europe. Les amendes liées au RGPD dépassent désormais 4 milliards d’euros depuis 2018.

Les directions informatiques sont sous pression. Mais cette pression peut devenir une force de transformation. Si elle est bien canalisée.

Le RGPD s’applique depuis 2018. Il concerne toute entreprise traitant des données personnelles de citoyens européens.
Objectifs : respect de la vie privée, consentement clair, droit à l’oubli, transparence.

Exemple : Une entreprise qui collecte les e-mails de ses clients pour leur envoyer une newsletter doit :

• obtenir un consentement clair,
• permettre un désabonnement simple,
• supprimer les données si le client le demande.

Les sanctions sont élevées. Jusqu’à 4 % du chiffre d’affaires mondial.

DORA (Digital Operational Resilience Act) s’appliquera à partir de janvier 2025. Il cible le secteur financier : banques, assurances, fintechs… mais aussi leurs prestataires IT.

Objectifs :

• mieux gérer les risques liés aux systèmes d’information,
• assurer la continuité d’activité en cas d’incident,
• tester régulièrement la résilience opérationnelle.

Exemple : Une banque doit prouver que son système peut résister à une cyberattaque. Elle doit aussi s’assurer que ses sous-traitants IT sont aussi résilients qu’elle.

NIS2 est entré en vigueur depuis l’année dernière. Elle concerne les entreprises dites « essentielles » ou « importantes » : santé, énergie, transport, numérique, eau, administrations…

Cette directive impose :

• une meilleure gestion des risques cyber,
• des plans de réponse aux incidents,
• une gouvernance claire de la sécurité IT (nommer un responsable, faire remonter les incidents…).

Exemple : Un hôpital public doit renforcer la sécurité de ses logiciels de gestion des dossiers patients. Il doit aussi déclarer toute attaque majeure à l’autorité compétente sous 24 heures.

Ces réglementations ne concernent pas que les juristes.
Elles touchent toute l’organisation.

• Mettre en place une gouvernance sécurité (rôles, responsabilités, documentation).
• Choisir des solutions conformes (chiffrement, traçabilité, auditabilité).
• Cartographier les risques sur l’ensemble du système d’information.

Une DSI doit savoir où sont stockées les données sensibles, qui y accède, et comment elles sont protégées.

• Revoir les processus de traitement des données (collecte, usage, suppression).
• Travailler avec l’IT pour sécuriser les outils métier.
• Être formé aux risques et aux bons réflexes (phishing, fuites, erreurs…).

Une équipe RH qui utilise un logiciel SaaS pour le recrutement doit s’assurer que les données candidates sont hébergées dans l’UE, et que l’outil respecte le RGPD.

• Signer des clauses de responsabilité en cas de faille.
• Répondre aux exigences de conformité de leurs clients.
• Prouver leur niveau de sécurité (audits, certifications…).

Un éditeur de logiciel qui vend à des banques devra désormais passer des audits de sécurité réguliers dans le cadre de DORA.

Trop souvent perçues comme des freins, les obligations réglementaires peuvent en réalité devenir de puissants leviers de transformation.

En structurant la gouvernance, elles incitent les entreprises à clarifier les responsabilités, formaliser des comités de pilotage et mettre en place des indicateurs de suivi. Résultat : des décisions plus rapides, mieux documentées et alignées avec les enjeux stratégiques.
Elles contribuent aussi à améliorer la qualité des données.

En renforçant la sécurité, on fiabilise les sources, on réduit les redondances, et on professionnalise les traitements. Cela ouvre la voie à des usages plus avancés : reporting de qualité, intelligence artificielle, pilotage en temps réel.

Enfin, ces efforts renforcent la confiance. Une organisation qui communique sur sa conformité aux normes RGPD, DORA ou NIS2 rassure ses clients et ses partenaires. C’est un signal fort de maturité, devenu un véritable atout dans les appels d’offres ou les relations commerciales à long terme.

Les nouvelles réglementations en matière de sécurité ne sont pas des effets de mode. Elles dessinent le nouveau standard. Un standard où les données doivent être :

• protégées,
• tracées,
• exploitables,
• réversibles,
• et conformes.

Les directions IT, métiers et juridiques doivent travailler ensemble. Non plus en réaction, mais en anticipation.

🤝 Le GROUPE BBU accompagne les entreprises et les organisations dans l’intégration de la sécurité, de la conformité et de la gouvernance dans leurs projets IT et data. Vous avez un projet ou une problématique sur RGPD, DORA, NIS2 ? Contactez-nous dès aujourd’hui.