Lexique > Chiffrement

Lexique IT

Chiffrement

Le chiffrement est une opération réversible appliquée à des données, le cas échéant à des données à caractère personnel, afin de les rendre incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès.

En effet, par principe seules les personnes disposant d’une clé de déchiffrement peuvent accéder aux données en clair et ainsi procéder à leur traitement.

Le chiffrement participe à la sécurité d’un traitement de données à caractère personnel, et notamment à en assurer la confidentialité et l’intégrité.

Il peut s’effectuer sur des données au repos mais également en transit.

Il existe deux principaux procédés de chiffrement que sont le chiffrement symétrique et le chiffrement asymétrique.

Le chiffrement symétrique vise la situation dans laquelle le chiffrement et le déchiffrement s’effectuent à l’aide d’une seule et même clé. Le choix de la clé doit donc être réfléchi afin d’éviter que des personnes malintentionnées soient en mesure de déchiffrer les données.

Le chiffrement asymétrique quant à lui vise la situation dans laquelle le destinataire dispose de deux clés de déchiffrement, une clé privée et une clé publique, cette dernière étant accessible à l’émetteur. L’émetteur se sert de la clé publique du destinataire afin de chiffrer le message et le destinataire se sert de sa clé privée pour le déchiffrer.

Le chiffrement de données peut également s’inscrire dans le cadre de leur effacement cryptographique en rendant ces dernières définitivement inaccessibles par la destruction définitive de la clé de déchiffrement, sous réserve que le chiffrement initial soit suffisamment robuste pour résister à un déchiffrement sans connaissance de la clé.

En effet, afin de constituer une mesure de sécurité efficace, le responsable du traitement ou le sous-traitant concerné doit prévoir que :

  • L’algorithme de chiffrement utilisé soit reconnu et sûr ;
  • Les clés de chiffrement utilisées soient de longueur suffisante ;
  • Les clés de chiffrement utilisées soient gérées correctement (qu’elles ne se trouvent pas sur le support et en tout état de cause, pas en clair) ;
  • Le chiffrement soit appliqué à l’entièreté du support ou à une subdivision logique de celui-ci (par opposition au chiffrement de répertoires ou fichiers individuels).

Point RGPD

« Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement.
Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. »

Considérant 83 du RGPD

Point jurisprudence

Le Conseil Constitutionnel a pu rappeler que « Le premier alinéa de l’article 434-15-2 du code pénal sanctionne d’une peine de trois ans d’emprisonnement et d’une amende de 270 000 euros le fait pour « quiconque » ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie, susceptible d’avoir été utilisé pour préparer, faciliter ou commettre une infraction, de refuser de la délivrer ou de la mettre en œuvre. Il résulte de la jurisprudence constante de la Cour de cassation, telle qu’elle ressort de la décision de renvoi de la question prioritaire de constitutionnalité, que cette obligation pèse sur toute personne, y compris celle suspectée d’avoir commis l’infraction à l’aide de ce moyen de cryptologie ».

Conseil Constitutionnel, 30 mars 2018, n° 2018-696

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.

Autres définitions

Marque

Une marque est un signe distinctif permettant à son titulaire (personne physique ou morale) de différencier ses produits et services…

RGPD

Le RGPD désigne Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes…

Marque notoire

Les notions de marque de renommée et de marque notoire ont été dégagées par la jurisprudence et désignent une marque largement connue du public…

OMPI

L’Organisation Mondiale de la Propriété Intellectuelle (OMPI), est une institution internationale des Nations Unies, située à Genève…

Voir le lexique