Le chiffrement des donnees constitue l’une des mesures techniques les plus frequemment invoquees par les textes europeens en matiere de protection de l’information. Le RGPD le mentionne explicitement a son article 32, la directive NIS2 en fait une exigence structurante, et la CNIL le recommande systematiquement dans ses guides pratiques. Pourtant, la mise en oeuvre du chiffrement reste un sujet mal maitrise par de nombreuses organisations, qui peinent a distinguer ce qui releve de l’obligation juridique stricte, de la recommandation forte, ou de la simple bonne pratique. Cet article propose une analyse complete du cadre juridique applicable, des standards techniques a deployer et des modalites pratiques de mise en oeuvre.

Le cadre juridique du chiffrement

Le RGPD et l’article 32

L’article 32 du RGPD impose aux responsables de traitement et aux sous-traitants de mettre en oeuvre les mesures techniques et organisationnelles appropriees afin de garantir un niveau de securite adapte au risque. Le texte mentionne explicitement, au paragraphe 1, point a), “la pseudonymisation et le chiffrement des donnees a caractere personnel” parmi les mesures susceptibles d’etre deployees.

Il convient de noter que le RGPD ne pose pas une obligation absolue de chiffrement. Le texte utilise la formule “selon les cas”, ce qui signifie que le chiffrement doit etre mis en oeuvre lorsqu’il est adapte au niveau de risque identifie. En pratique, cette formulation laisse une marge d’appreciation au responsable de traitement, mais cette marge se reduit considerablement a mesure que la sensibilite des donnees augmente.

Pour les donnees de sante, les donnees biometriques, les donnees relatives aux infractions penales ou les donnees revelant l’origine raciale ou ethnique, le chiffrement n’est plus une option mais une quasi-obligation. L’absence de chiffrement pour ces categories de donnees serait tres difficilement justifiable devant une autorite de controle. Pour approfondir l’ensemble des exigences de l’article 32, consultez notre guide sur la securite des donnees au titre du RGPD.

La directive NIS2 et les exigences de cryptographie

La directive (UE) 2022/2555, dite NIS2, va plus loin que le RGPD en matiere de chiffrement. Son article 21, paragraphe 2, point h), impose aux entites essentielles et importantes de mettre en oeuvre des “politiques et des procedures relatives a l’utilisation de la cryptographie et, le cas echeant, du chiffrement”. Cette formulation est significative : il ne s’agit plus seulement de chiffrer les donnees lorsque c’est necessaire, mais de disposer d’une politique formalisee en matiere de cryptographie.

Concretement, les organisations soumises a NIS2 doivent documenter leur strategie de chiffrement, definir les cas d’usage, les algorithmes retenus, les procedures de gestion des cles et les responsabilites associees. L’absence d’une telle politique constitue en soi un manquement, independamment de la question de savoir si le chiffrement est effectivement deploye sur tel ou tel systeme.

La position de la CNIL

La CNIL a pris position a de nombreuses reprises sur le chiffrement. Dans ses recommandations relatives a la securite des donnees personnelles, elle considere le chiffrement comme une mesure de base pour plusieurs scenarios : le stockage de donnees sensibles, la transmission de donnees sur des reseaux publics, le stockage de donnees sur des equipements mobiles ou des supports amovibles.

La jurisprudence de la CNIL confirme cette approche. Plusieurs sanctions ont ete prononcees en raison de l’absence de chiffrement la ou il s’imposait. A titre d’exemple, la transmission de donnees de sante par courrier electronique sans chiffrement a ete sanctionnee, de meme que le stockage de mots de passe en clair dans des bases de donnees. Le message est clair : lorsque le risque est eleve, l’absence de chiffrement est constitutive d’un manquement a l’obligation de securite.

Les types de chiffrement a deployer

Le chiffrement ne se resume pas a un concept unique. Il se decline en plusieurs modalites, chacune repondant a un besoin specifique de securite.

Le chiffrement au repos (at rest)

Le chiffrement au repos protege les donnees stockees sur des supports physiques : disques durs, bases de donnees, sauvegardes, supports amovibles. L’objectif est de prevenir l’acces aux donnees en cas de vol, de perte ou d’acces physique non autorise au support.

Le standard de reference est l’AES-256 (Advanced Encryption Standard avec une cle de 256 bits). Cet algorithme est considere comme robuste par l’ensemble des autorites de reference, y compris l’ANSSI. Il est disponible nativement dans la plupart des systemes d’exploitation (BitLocker sous Windows, FileVault sous macOS, LUKS sous Linux) et dans les solutions de bases de donnees du marche.

Pour les bases de donnees, deux approches coexistent : le chiffrement transparent (TDE - Transparent Data Encryption), qui chiffre l’ensemble de la base au niveau du stockage, et le chiffrement au niveau colonne, qui permet de chiffrer selectivement les champs contenant des donnees sensibles. La seconde approche offre une granularite superieure mais induit une complexite de gestion plus elevee.

Le chiffrement en transit (in transit)

Le chiffrement en transit protege les donnees pendant leur transmission sur un reseau. Il s’agit de prevenir l’interception des donnees par un tiers (attaque de type “man-in-the-middle”).

Le standard actuel est TLS 1.3, qui a succede a TLS 1.2. Les versions anterieures (TLS 1.0, TLS 1.1, SSL) sont considerees comme obsoletes et ne doivent plus etre utilisees. La CNIL et l’ANSSI recommandent formellement de desactiver ces protocoles anciens.

Le chiffrement en transit s’applique a l’ensemble des flux : communications web (HTTPS), messagerie electronique (SMTPS, IMAPS), transferts de fichiers (SFTP, FTPS), connexions a des bases de donnees distantes, communications entre microservices au sein d’une architecture applicative.

Le chiffrement de bout en bout (end-to-end)

Le chiffrement de bout en bout constitue le niveau de protection le plus eleve. Dans ce modele, les donnees sont chiffrees sur le terminal de l’expediteur et ne sont dechiffrees que sur le terminal du destinataire. Aucun intermediaire, y compris le fournisseur du service de communication, ne dispose des cles permettant d’acceder au contenu en clair.

Ce type de chiffrement est particulierement pertinent pour les communications contenant des donnees sensibles : echanges entre un avocat et son client, transmissions de donnees medicales entre professionnels de sante, communications internes portant sur des informations strategiques.

La gestion des cles : le maillon critique

Le chiffrement n’a de valeur que si les cles cryptographiques sont correctement gerees. Une cle compromise rend l’ensemble du dispositif de chiffrement inoperant. La gestion des cles constitue donc le maillon le plus critique de toute strategie de chiffrement.

Les principes fondamentaux

Plusieurs principes doivent guider la gestion des cles. La separation des cles et des donnees chiffrees est essentielle : stocker la cle de chiffrement au meme endroit que les donnees chiffrees revient a fermer une porte a cle en laissant la cle sur la serrure. Les cles doivent etre stockees dans des coffres-forts dedies (HSM - Hardware Security Modules, ou solutions de gestion de cles logicielles telles qu’AWS KMS, Azure Key Vault ou HashiCorp Vault).

La rotation reguliere des cles est egalement indispensable. Les cles de chiffrement doivent etre renouvelees periodiquement, selon une frequence adaptee au niveau de risque. Une rotation annuelle constitue un minimum raisonnable pour la plupart des cas d’usage.

Enfin, la revocation et la destruction des cles doivent etre prevues et documentees. Lorsqu’une cle est compromise ou arrive en fin de vie, un processus de revocation doit etre immediatement declenche.

La hierarchie des cles

Les bonnes pratiques recommandent de mettre en place une hierarchie de cles comprenant au minimum trois niveaux : une cle maitresse (Master Key), protegee dans un HSM, qui sert a chiffrer les cles de chiffrement de donnees (DEK - Data Encryption Keys), elles-memes utilisees pour chiffrer les donnees. Cette architecture, dite “envelope encryption”, permet de limiter l’exposition de la cle maitresse et de faciliter la rotation des cles de donnees.

Quand le chiffrement est-il obligatoire ?

La reponse a cette question depend du contexte juridique et factuel. On peut neanmoins identifier plusieurs situations dans lesquelles le chiffrement est, de facto, obligatoire.

Donnees sensibles au sens du RGPD : pour les categories particulieres de donnees (article 9) et les donnees relatives aux condamnations penales (article 10), le chiffrement au repos et en transit est quasi-systematiquement exige par les autorites de controle.

Transferts internationaux de donnees : a la suite de l’arret Schrems II, le chiffrement constitue l’une des mesures supplementaires recommandees par le CEPD pour les transferts vers des pays tiers ne beneficiant pas d’une decision d’adequation. Le chiffrement avec gestion des cles sous le controle exclusif de l’exportateur est specifiquement mentionne.

Entites soumises a NIS2 : les entites essentielles et importantes doivent, au minimum, disposer d’une politique de chiffrement documentee et la mettre en oeuvre de maniere effective.

Donnees de sante : le referentiel de securite applicable aux systemes d’information de sante impose le chiffrement a plusieurs niveaux.

Equipements mobiles et teletravail : les terminaux susceptibles d’etre perdus ou voles (ordinateurs portables, smartphones, cles USB) doivent imperativement etre chiffres.

Le chiffrement dans le cloud

Le recours croissant aux services cloud pose des questions specifiques en matiere de chiffrement. La plupart des fournisseurs cloud proposent un chiffrement natif des donnees au repos et en transit. Cependant, dans le modele standard, c’est le fournisseur cloud qui detient les cles de chiffrement, ce qui signifie qu’il dispose techniquement de la capacite d’acceder aux donnees en clair.

Pour les donnees les plus sensibles, plusieurs options permettent de renforcer le controle sur les cles. La solution “Bring Your Own Key” (BYOK) permet au client de fournir sa propre cle au fournisseur cloud, qui l’utilise pour le chiffrement. La solution “Hold Your Own Key” (HYOK) va plus loin en maintenant la cle sous le controle exclusif du client, en dehors de l’infrastructure du fournisseur. Enfin, le chiffrement cote client (client-side encryption) consiste a chiffrer les donnees avant de les transmettre au fournisseur, de sorte que ce dernier ne manipule jamais que des donnees chiffrees.

Le choix entre ces options depend de l’analyse de risque et des exigences reglementaires applicables. Pour les donnees soumises au secret professionnel ou les donnees de sante, la solution HYOK ou le chiffrement cote client sont generalement recommandes.

Guide de mise en oeuvre pratique

La mise en oeuvre d’une strategie de chiffrement conforme aux exigences legales suppose une demarche structuree en plusieurs etapes.

Etape 1 - Cartographie : identifier l’ensemble des donnees traitees, leur localisation (bases de donnees, fichiers, sauvegardes, flux de transmission) et leur niveau de sensibilite.

Etape 2 - Analyse de risque : pour chaque categorie de donnees, evaluer les risques associes a une compromission (atteinte a la vie privee, prejudice financier, atteinte a la reputation) et determiner le niveau de chiffrement requis.

Etape 3 - Choix des solutions : selectionner les algorithmes (AES-256 pour le chiffrement symetrique, RSA-2048 ou courbes elliptiques pour le chiffrement asymetrique), les protocoles (TLS 1.3) et les solutions de gestion de cles.

Etape 4 - Deploiement : mettre en oeuvre le chiffrement de maniere progressive, en commencant par les donnees les plus sensibles et les flux les plus exposes.

Etape 5 - Documentation : rediger la politique de chiffrement exigee par NIS2, incluant les algorithmes utilises, les procedures de gestion des cles, les responsabilites et les procedures de revocation.

Etape 6 - Audit et maintien : verifier regulierement la conformite du dispositif de chiffrement, tester la robustesse des configurations et mettre a jour les algorithmes en fonction de l’evolution des menaces.

Conclusion

Le chiffrement des donnees n’est plus une option technique reservee aux experts en cybersecurite. Il constitue desormais une exigence juridique structurante, portee a la fois par le RGPD et par la directive NIS2. Les organisations qui n’ont pas encore formalise leur strategie de chiffrement s’exposent a des risques juridiques significatifs, tant en termes de sanctions administratives que de responsabilite civile en cas de violation de donnees. La mise en conformite suppose une approche methodique, articulant analyse de risque, choix techniques adaptes et gouvernance des cles cryptographiques. C’est a ce prix que le chiffrement remplit pleinement son role de protection des donnees personnelles et des informations sensibles.