Le RGPD pour les équipes informatiques et les MSP : ce qu'il faut savoir et faire

L'application du RGPD n'est plus un risque purement théorique. Les autorités européennes chargées de la protection des données ont infligé plus de 1,2 milliard d'euros d'amendes rien qu'en 2025, et la catégorie de violation la plus courante concernait l'insuffisance des mesures de sécurité techniques et organisationnelles, soit précisément ce que l'article 32 du règlement exige que les équipes informatiques et les MSP mettent en œuvre. Le montant cumulé des amendes depuis 2018 dépasse désormais 7,1 milliards d'euros, selon l'analyse du GDPR Enforcement Tracker publiée début 2026.

Pour les professionnels de l'informatique et les MSP qui travaillent avec des clients de l'UE ou du Royaume-Uni, le RGPD est une exigence opérationnelle qui relève pleinement de la gestion informatique, et non pas uniquement d'une fonction juridique ou de conformité. La plateforme de Kaseya est utilisée par plus de 50 000 MSP et équipes informatiques à travers le monde, dont beaucoup doivent gérer précisément ces obligations pour plusieurs clients à la fois. Ce guide s'appuie sur cette expertise opérationnelle pour aborder ce qui compte réellement dans la pratique.

Ce guide met l'accent sur les exigences techniques et organisationnelles en matière de sécurité, les obligations de notification des violations de données et les rôles liés au traitement des données qui font du RGPD un véritable enjeu pour la gestion informatique.

Qu'est-ce que le RGPD et à qui s'applique-t-il ?

Le règlement général sur la protection des données (RGPD, UE 2016/679) régit la collecte, le traitement, le stockage et le transfert des données à caractère personnel concernant les personnes physiques dans l'Union européenne et l'Espace économique européen (EEE). Le RGPD britannique, maintenu et adapté à la suite du Brexit, impose un ensemble d'exigences quasi équivalentes pour les traitements effectués au Royaume-Uni, l'ICO faisant office d'autorité de contrôle.

Au sens du RGPD, la notion de « données à caractère personnel » est plus large que ne le pensent initialement la plupart des équipes informatiques. Les adresses IP, les identifiants d'appareils, les adresses e-mail et les journaux techniques peuvent tous constituer des données à caractère personnel s'ils peuvent être associés à une personne physique. Le règlement s'applique à toute opération effectuée sur ces données, y compris leur collecte, leur stockage, leur consultation, leur utilisation, leur transmission et leur suppression.

Le RGPD s'applique aux organisations établies dans l'UE/EEE, quel que soit le lieu où se trouvent les personnes concernées, ainsi qu'aux organisations situées en dehors de l'UE/EEE qui proposent des biens ou des services à des personnes physiques dans l'UE/EEE ou qui surveillent leur comportement. Il n'y a pas de seuil minimal de taille. Une entreprise unipersonnelle qui traite des données à caractère personnel concernant des personnes physiques de l'UE est soumise aux mêmes obligations qu'une multinationale.

Pour les entreprises technologiques B2B, les fournisseurs de SaaS et les MSP ayant des clients dans l'Union européenne ou au Royaume-Uni, le RGPD s'applique très certainement.

Article 32 : l'exigence en matière de sécurité informatique au cœur du RGPD

C'est à l'article 32 que le RGPD devient une exigence en matière de gestion informatique. Il impose aux responsables du traitement et aux sous-traitants de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Le règlement précise quatre catégories de mesures :

Pseudonymisation et chiffrement. Les données à caractère personnel doivent être protégées tant au repos qu'en transit. La mise en œuvre concrète consiste à recourir au chiffrement au niveau des terminaux et des sauvegardes, associé à des contrôles d'accès limitant l'accès aux données non chiffrées.

Confidentialité, intégrité, disponibilité et résilience. Les systèmes de traitement doivent être en mesure de garantir ces propriétés en permanence. Cela se traduit directement par la détection et la réponse au niveau des terminaux (EDR) pour la confidentialité et l'intégrité, et par la sauvegarde et la reprise après sinistre pour la disponibilité et la résilience. Il ne s'agit pas de produits de sécurité distincts ajoutés à un programme de conformité au RGPD. Ils constituent le programme de conformité au RGPD.

Rétablissement rapide de la disponibilité. À la suite d'un incident physique ou technique, les organisations doivent être en mesure de rétablir rapidement l'accès aux données à caractère personnel. L'objectif de temps de reprise (RTO) est une exigence du RGPD, et non une simple préférence opérationnelle. Un MSP gérant les données de ses clients qui ne peut pas démontrer une reprise rapide et validée à partir d'une sauvegarde n'est pas conforme à l'article 32.

Tests et évaluations réguliers. L'efficacité des mesures de sécurité doit être régulièrement testée, analysée et évaluée. La conformité n'est pas un état ponctuel. Elle nécessite une évaluation continue, des preuves documentées et un processus permettant d'identifier et de combler les lacunes.

L'amende infligée en 2025 à Advanced Computer Software Group, un prestataire informatique condamné à une amende de 3,07 millions de livres sterling par l'ICO britannique pour des défaillances de sécurité ayant perturbé les services du NHS, a constitué la première amende prononcée par l'ICO directement à l'encontre d'un sous-traitant plutôt que d'un responsable du traitement. L'ICO a estimé que l'entreprise n'avait pas mis en œuvre les mesures techniques appropriées prévues à l'article 32, citant des lacunes spécifiques dans le déploiement de l'authentification multifactorielle (MFA), l'analyse des vulnérabilités et la gestion des correctifs. Il ne s'agit pas d'un risque abstrait pour les MSP. Cela établit un précédent clair selon lequel les prestataires de services informatiques peuvent être tenus directement responsables des défaillances de sécurité dans les systèmes qu'ils gèrent.

Une façon concrète d'appréhender les obligations prévues à l'article 32 : si vous n'étiez pas en mesure de démontrer aujourd'hui à un auditeur, à l'aide de preuves documentées, que le chiffrement est activé sur tous les terminaux traitant des données à caractère personnel, que des tests de vérification des sauvegardes ont été effectués et ont abouti à des résultats satisfaisants, et que les procédures d'intervention en cas d'incident ont été testées, cela signifie que vous présentez une lacune au regard de l'article 32.

Notification des violations de données : la règle des 72 heures

L'article 33 impose aux responsables du traitement de notifier leur autorité de contrôle dans un délai de 72 heures à compter du moment où ils ont pris connaissance d'une violation de données à caractère personnel, sauf si cette violation est peu susceptible d'entraîner un risque pour les personnes concernées. Au Royaume-Uni, l'autorité de contrôle est l'ICO. Dans les États membres de l'Union européenne, il s'agit de l'autorité nationale compétente en matière de protection des données.

Le délai de 72 heures commence à courir dès lors que l'organisation a un degré raisonnable de certitude qu'un incident de sécurité a compromis des données à caractère personnel. Ce n'est pas lorsque l'enquête est terminée, mais dès lors qu'il est établi que des données à caractère personnel pourraient avoir été affectées. Le RGPD autorise explicitement une notification par étapes : une notification initiale contenant les informations disponibles, suivie de mises à jour à mesure que l'enquête apporte de nouveaux éléments.

L'article 34 introduit une obligation distincte d'informer directement les personnes concernées lorsqu'une violation est susceptible d'entraîner un risque élevé pour leurs droits et libertés. Les données relatives à la santé, les données financières, les documents d'identité et les données concernant les enfants constituent des catégories pour lesquelles ce seuil est fréquemment atteint.

Les implications opérationnelles pour les équipes informatiques et les MSP sont claires : la capacité à détecter les violations suffisamment rapidement pour identifier et confirmer un incident dans les heures qui suivent sa survenue est une exigence du RGPD. La fatigue liée aux alertes, la lenteur des procédures d'escalade et le manque de clarté des procédures d'intervention en cas d'incident se traduisent par des violations du délai de 72 heures. Un processus d'intervention en cas d'incident de sécurité bien géré considère que le délai commence à courir dès la détection de l'incident, et non à l'issue de l'enquête.

Les sous-traitants ont une obligation parallèle. Les MSP agissant en tant que sous-traitants doivent informer le responsable du traitement sans retard injustifié dès qu’ils ont connaissance d’une violation. Le responsable du traitement doit alors en informer l’autorité de contrôle dans un délai de 72 heures. Si un MSP découvre une violation affectant les données d’un client un vendredi soir et n’en informe le client que le lundi matin, ce retard peut empêcher le responsable du traitement de respecter le délai légal.

Protection des données dès la conception et par défaut

L'article 25 exige que les mesures de protection de la vie privée soient intégrées aux systèmes dès leur conception, et non ajoutées a posteriori après leur mise en service.

La protection des données dès la conception signifie que, lors de l'acquisition, de la configuration ou du développement de systèmes, les exigences en matière de protection de la vie privée font partie intégrante du cahier des charges technique. Les contrôles d'accès, le chiffrement et la minimisation des données relèvent de choix architecturaux et ne constituent pas des ajouts a posteriori. Pour les équipes informatiques chargées d'évaluer de nouveaux outils, l'analyse d'impact sur la vie privée fait partie intégrante du processus et n'est pas une étape ultérieure.

La protection des données par défaut signifie que les paramètres par défaut doivent constituer l'option la plus favorable à la protection de la vie privée parmi celles disponibles. Si un système peut collecter moins de données, en partager moins ou accorder un accès plus restreint, le réglage par défaut doit privilégier la protection de la vie privée. Ce sont les utilisateurs qui devraient devoir activer explicitement une collecte de données plus étendue, et non se désengager de celle-ci.

Des analyses d'impact relatives à la protection des données (AIPD) sont obligatoires avant tout traitement susceptible d'entraîner un risque élevé, notamment la prise de décision automatisée, la surveillance systématique à grande échelle, le traitement à grande échelle de catégories de données sensibles et l'analyse comportementale. Pour les équipes informatiques, les éléments déclencheurs comprennent les outils de surveillance basés sur l'IA, les plateformes d'analyse du comportement des utilisateurs et les systèmes d'accès biométriques. Une AIPD n'est pas facultative pour ces catégories. Il s'agit d'une obligation légale.

Le RGPD pour les MSP : responsable du traitement vs sous-traitant

La compréhension des rôles prévus par le RGPD est l'un des aspects les plus importants sur le plan pratique pour les MSP.

Le responsable du traitement détermine les finalités et les moyens du traitement des données à caractère personnel. Le client d'un MSP est généralement le responsable du traitement des données de ses propres clients, de celles de ses employés, ainsi que de toutes les données à caractère personnel traitées dans le cadre de ses activités.

Un sous-traitant traite les données à caractère personnel pour le compte du responsable du traitement. Un fournisseur de services de gestion (MSP) qui gère des systèmes informatiques contenant des données à caractère personnel, fournit des services de messagerie électronique, héberge des données ou assure des services de sauvegarde et de restauration pour les environnements de ses clients agit, dans la plupart des cas, en tant que sous-traitant pour les données de ce client.

Les obligations des sous-traitants au titre du RGPD comprennent :

• Traitement effectué uniquement sur la base d'instructions documentées émanant du responsable du traitement
• Mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées (article 32)
• Informer le responsable du traitement sans retard injustifié dès qu'il a connaissance d'une violation de données
• Suppression ou restitution de toutes les données à caractère personnel à l'expiration du contrat de service
• Faciliter et contribuer aux audits menés par le responsable du traitement

Un même prestataire de services gérés (MSP) peut agir en tant que responsable du traitement pour certaines données (les données relatives à ses propres employés, celles concernant ses relations avec ses clients) et en tant que sous-traitant pour d'autres données (les données à caractère personnel des clients qu'il gère dans le cadre de la prestation de services). Ces deux séries d'obligations s'appliquent simultanément.

Les sous-traitants secondaires constituent un niveau supplémentaire. Lorsqu’un prestataire de services informatiques (MSP) fait appel à des fournisseurs de services cloud, à des prestataires de sauvegarde ou à d’autres services pour fournir des services informatiques à ses clients, ces tiers peuvent devenir des sous-traitants secondaires des données à caractère personnel du client. Les accords conclus avec les sous-traitants secondaires doivent être portés à la connaissance du responsable du traitement et approuvés par celui-ci. Les sous-traitants secondaires doivent respecter des normes de sécurité équivalentes à celles exigées du sous-traitant principal.

Accords relatifs au traitement des données : ce que les MSP doivent mettre en place

Un accord sur le traitement des données (DPA) est un contrat légalement obligatoire entre le responsable du traitement et le sous-traitant. Tout prestataire de services gérés (MSP) traitant des données à caractère personnel pour le compte de clients situés dans l'UE ou au Royaume-Uni doit avoir conclu un DPA avec chacun de ces clients. Il ne s'agit ni d'une option ni d'une simple courtoisie commerciale. C'est une exigence du RGPD prévue à l'article 28.

Un accord de traitement des données (DPA) doit au minimum porter sur :

• L'objet, la durée, la nature et la finalité du traitement
• La nature des données à caractère personnel et les catégories de personnes concernées
• Les instructions écrites du responsable du traitement à l'intention du sous-traitant
• Les mesures de sécurité que le sous-traitant mettra en œuvre (obligations prévues à l'article 32)
• La procédure de notification des violations de données par le sous-traitant au responsable du traitement
• Les accords avec les sous-traitants et l'exigence d'une protection équivalente
• Obligations du sous-traitant à l'expiration du contrat : effacement ou restitution des données
• Droits de contrôle du responsable du traitement

Pour un MSP gérant plusieurs clients, disposer de clauses standard de l’accord de traitement des données (DPA) révisées et prêtes à être mises en œuvre est une condition préalable sur le plan commercial, et non une charge administrative. Les MSP qui n’ont pas mis en place de DPA ne sont pas en conformité en tant que sous-traitants, quelle que soit la qualité de leur dispositif de sécurité sur le plan technique. C’est également dans le cadre du DPA que les clients évaluent les pratiques de sécurité du MSP avant de s’engager. Pour les clients de taille moyenne et les grandes entreprises disposant de leurs propres programmes RGPD, un ATD clair et bien rédigé est de plus en plus souvent une condition du contrat.

Compliance Manager GRC l'évaluation de la conformité au RGPD et la documentation des preuves pour l'ensemble des contrôles visés à l'article 32, offrant ainsi aux MSP un cadre structuré pour démontrer et maintenir les mesures de sécurité auxquelles s'engagent leurs responsables du traitement des données. Découvrez comment cette solution soutient les programmes de conformité.

La mise en application et ses implications pour les prestataires informatiques

Le barème des sanctions prévu par le RGPD est bien connu. Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les infractions les plus graves. Jusqu'à 10 millions d'euros ou 2 % pour les manquements procéduraux, notamment des mesures de sécurité insuffisantes et l'absence de notification des violations.

En 2025 et 2026, la réalité en matière d'application de la réglementation est que les manquements à l'article 32 constituent la cause la plus fréquente d'amendes en nombre absolu, et pas seulement en raison de la couverture médiatique générée par les sanctions infligées aux grandes entreprises technologiques. La CNIL française a infligé une amende de 27 millions d'euros à Free Mobile en janvier 2026 pour des mesures de sécurité inadéquates à la suite d'une violation de données. L'ICO a infligé une amende de 3,07 millions de livres sterling à Advanced Computer Software Group en mars 2025 pour les mêmes manquements à l'article 32, notamment des lacunes en matière d'authentification multifactorielle (MFA), d'analyse des vulnérabilités et de gestion des correctifs. L'Espagne et l'Italie se sont montrées très actives dans l'application d'amendes aux prestataires de soins de santé, aux sociétés de services financiers et aux entreprises de services régionales.

Les autorités de régulation ont également confirmé que les mesures coercitives ne se limitaient pas aux grandes entreprises. L'analyse des données relatives au suivi des sanctions révèle qu'une part importante des amendes infligées concerne des prestataires de services régionaux, de petites entreprises de SaaS et des organismes locaux. Les sanctions sont proportionnellement moins élevées, mais il s'agit bel et bien de sanctions.

Pour les MSP, les implications en matière d'application de la réglementation se traduisent par trois risques spécifiques : la responsabilité directe en tant que sous-traitant en cas de défaillances de sécurité au titre de l'article 32, la responsabilité envers les clients en cas de retards dans la notification des violations qui empêchent le responsable du traitement de respecter le délai de 72 heures, et les risques commerciaux liés à l'absence totale d'accords de traitement des données (APD).

La conformité au RGPD est également une exigence commerciale, et pas seulement réglementaire. Les clients issus du marché intermédiaire et des grandes entreprises qui exercent des activités dans l'UE ou au Royaume-Uni exigent systématiquement des preuves de conformité au RGPD dans le cadre de l'évaluation des fournisseurs et du renouvellement des contrats. Un MSP qui n'est pas en mesure de présenter des contrôles de sécurité documentés, des procédures de gestion des incidents testées et un accord de traitement des données (DPA) signé n'est pas compétitif sur ce segment de marché.

Pour mieux comprendre le lien entre les exigences en matière de gouvernance des données et le RGPD, la loi HIPAA ainsi que les autres cadres réglementaires auxquels les MSP doivent se conformer pour leurs clients, consultez notre guide sur la gouvernance des données destiné aux équipes informatiques et aux MSP.