Lexique IT
VPN (Virtual Private Network)
Un VPN, autrement appelé en français « réseau privé virtuel » est un canal de communication privé utilisant le plus souvent l’infrastructure du réseau Internet afin de transmettre des données généralement protégées grâce à l’utilisation de techniques de chiffrement.
Il permet de relier deux réseaux physiques par un tunnel virtuel. Seuls les ordinateurs des réseaux locaux de part et d’autre du VPN peuvent échanger, se voir, accéder aux données partagées.
Les VPN disposent très souvent d’une passerelle permettant de changer l’adresse IP source, rendant ainsi plus difficile l’identification et la localisation de l’internaute.
L’utilisation de VPN permet ainsi également de contourner les restrictions géographiques de certains services ou encore leurs blocages administratifs mis en œuvre dans certains pays.
Ces réseaux privés virtuels ne sont pas expressément prohibés par la loi française, mais leur utilisation est souvent réalisée à des fins illicites : téléchargement d’œuvres protégées par le droit d’auteur, vente de produits contrefaits, cyberharcèlement, escroquerie, piratage…
Ainsi, ce n’est pas tant l’outil mais plutôt la finalité de son utilisation par l’internaute qui peut être prohibée par la loi française.
Dans certains pays, et notamment aux Émirats arabes unis, l’utilisation d’un VPN à des fins frauduleuse ou criminelles est lourdement sanctionnable en tant que telle.
Point RGPD
« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
- a) la pseudonymisation et le chiffrement des données à caractère personnel ;
- b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »
Point jurisprudence
L’autorité de contrôle Norvégienne note que « il sera souvent difficile de déterminer avec certitude l’emplacement d’une adresse IP, surtout si un téléphone mobile et un VPN (Virtual Private Network) sont utilisés. »
Datatilsynet, 22 juin 2021, N°PVN-2021-06
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.