- Les autorités de contrôle ne cherchent pas l'absence totale de risque — elles évaluent si l'organisation a identifié ses risques, mis en place des mesures proportionnées et exercé une surveillance effective de leur application.
- British Airways (2018) : l'amende record de 20 millions de livres sterling de l'ICO (réduite depuis 183 millions) n'a pas sanctionné le fait d'avoir subi une attaque — elle a sanctionné l'inadéquation des mesures de sécurité en place au regard des risques connus.
- Medibank (2022) : l'OAIC australien a sanctionné l'absence de mesures de protection appropriées sur des données de santé sensibles, et non l'incident lui-même — la distinction est essentielle pour comprendre la logique réglementaire.
- La documentation de la gouvernance est la première chose examinée lors d'un contrôle : procès-verbaux de comités de sécurité, cartographies des risques, plans de traitement documentés, résultats d'audits avec suivi des remèdes.
- Une organisation qui peut démontrer qu'elle a identifié un risque, pris une décision documentée sur son traitement et suivi l'exécution est dans une position bien plus favorable qu'une organisation sans trace de gouvernance, même si les deux ont la même posture technique.
Les dirigeants qui n'ont pas eu l'occasion de vivre un contrôle réglementaire ont souvent une image inexacte de ce que les autorités recherchent. La représentation courante est celle d'un contrôle technique — des inspecteurs qui vérifient les configurations, testent les systèmes, identifient les vulnérabilités. La réalité est très différente : les autorités évaluent principalement la gouvernance, c'est-à-dire la façon dont la direction a exercé sa responsabilité de pilotage des risques numériques.
Cette distinction est fondamentale pour la préparation. Une organisation techniquement imparfaite qui peut démontrer une gouvernance structurée — risques identifiés, décisions documentées, mesures proportionnées mises en place, surveillance effective — sera évaluée très différemment d'une organisation techniquement similaire qui ne dispose d'aucune trace de gouvernance.
La logique de proportionnalité
Les autorités de contrôle appliquent un principe de proportionnalité : les mesures de sécurité attendues sont proportionnelles aux risques présentés par les activités de l'organisation. Une entreprise traitant des données de santé de millions de patients est soumise à des exigences plus élevées qu'une petite entreprise de services sans traitement de données sensibles. Ce principe est explicitement formulé dans le RGPD ("mesures appropriées au regard des risques"), dans la loi algérienne 18-07, et dans la plupart des cadres réglementaires sectoriels.
La question posée par les autorités n'est donc pas "avez-vous le niveau de sécurité d'une banque internationale ?" mais "avez-vous mis en place des mesures proportionnées aux risques que vos activités présentent pour les personnes dont vous traitez les données ?" Cette question appelle une réponse documentée : la cartographie des données traitées, l'évaluation des risques associés, les mesures de protection mises en place et leur adéquation aux risques identifiés.
La violation Equifax, qui a exposé les données de 147 millions d'Américains et conduit à un règlement de 700 millions de dollars avec la FTC, la CFPB et les États américains, illustre la logique des autorités de contrôle face à une violation massive. La FTC n'a pas sanctionné Equifax uniquement pour avoir subi une attaque — elle a documenté un ensemble de défaillances de gouvernance : un correctif de sécurité connu depuis des mois non appliqué, des systèmes d'information sans segmentation permettant une propagation massive, et une culture de sécurité insuffisante au niveau de la direction. Le rapport de la commission du Congrès a conclu que la violation était "entièrement évitable" avec des pratiques de gouvernance de la sécurité standard — une conclusion qui fonde la responsabilité de la direction.
Ce que les autorités examinent en pratique
Lors d'un contrôle, les autorités examinent en priorité quatre catégories de documents. La cartographie des traitements et des risques : l'organisation sait-elle quelles données elle traite, où elles sont stockées, qui y a accès et quels sont les risques associés ? Le registre des traitements pour les données personnelles, imposé par le RGPD et la loi 18-07, est le point de départ de cette vérification. Les politiques de sécurité formalisées : les règles définissant les mesures de sécurité requises existent-elles et sont-elles à jour ? Les preuves d'application : audits, tests, rapports d'incidents, traces d'accès — les documents démontrant que les politiques sont effectivement appliquées et pas seulement déclarées. Le suivi des incidents et des mesures correctives : comment l'organisation a-t-elle réagi aux incidents et anomalies détectés ?
La notification d'incident comme facteur d'appréciation
Les autorités européennes et de nombreuses autorités internationales accordent une attention particulière à la façon dont les organisations notifient les incidents. Une notification rapide, complète et proactive est généralement un facteur atténuant lors de l'évaluation des sanctions. A contrario, une notification tardive, incomplète, ou initiée par l'autorité plutôt que par l'organisation est un facteur aggravant. En Algérie, la loi 18-07 impose des obligations de notification dont le non-respect est sanctionnable indépendamment de la violation elle-même.
La gestion de la communication post-incident par LastPass a fait l'objet de critiques significatives de la part des autorités de régulation et des experts en sécurité. La divulgation progressive des informations sur l'étendue de la violation — plusieurs communications sur plusieurs mois, chacune révélant un périmètre plus large que la précédente — a été perçue comme une gestion insuffisamment transparente avec les personnes affectées et les autorités. Les régulateurs américains ont ouvert des enquêtes sur la conformité de LastPass avec les obligations de notification. Cette affaire illustre comment la qualité de la communication post-incident influe directement sur l'appréciation réglementaire de la réponse à la violation.
La publication de 9,5 gigaoctets de données internes de Thales par le groupe LockBit a mis l'entreprise dans une position délicate vis-à-vis des autorités réglementaires et de ses clients, notamment dans le secteur de la défense et de l'infrastructure critique. Thales, en tant qu'opérateur d'importance vitale (OIV) en France, est soumis à des obligations de sécurité renforcées et de notification. La gestion de la communication autour de cet incident — notamment la communication limitée sur l'étendue et la nature des données compromises — illustre les difficultés de la communication de crise dans les organisations à fort enjeu de confidentialité.
La commission d'enquête gouvernementale créée suite à la violation SingHealth a produit un rapport détaillé sur les défaillances de gouvernance identifiées, incluant des recommandations sur les obligations de notification et de contrôle dans le secteur de la santé singapourien. Le gouvernement de Singapour a utilisé cet incident pour refondre son cadre réglementaire de cybersécurité, imposant de nouvelles obligations aux prestataires de services critiques. L'incident illustre comment un contrôle gouvernemental post-incident peut transformer le cadre réglementaire d'un secteur entier — une évolution que les dirigeants doivent anticiper dans leur planification stratégique de la gouvernance de la sécurité.