Chose promise, chose due… Comme elle l’avait annoncé lors de sa réunion de place du 9 octobre 2024, l’ACPR a publié la version finale de sa notice sur le cadre de gestion des risques TIC sur la base de son projet proposé en décembre 2024.
Cette notice a pour objectif d’accompagner les entités assujetties dans l’application des exigences DORA relatives à la gestion des risques TIC mais également de recueillir un panel large des références réglementaires DORA depuis les nombreux actes délégués de niveau II et normes techniques de ces derniers mois.
Cette notice s’articule ainsi en 5 parties et 1 annexe :
Le 20 janvier 2025, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices portant à la fois sur le principe de la pseudonymisation et le renforcement de la coopération avec les autorités de la concurrence.
Pour la première fois, la notion de pseudonymisation obtient une définition claire de ses moyens d’application. Ces lignes directrices apportent en effet un réel descriptif pour faciliter son implémentation au sein des organismes traitant des données personnelles. Les données sensibles comme les données de santé peuvent être concernées par la pseudonymisation.
La pseudonymisation est un outil permettant aux responsables de traitements de rendre non identifiable une donnée personnelle. Cela permet ainsi de traiter des données personnelles, sans pour autant connaitre l’identité de la personne qui est concernée par cette donnée. Grace à cette technique, les personnes concernées se voient ainsi être protégées et le responsable de traitement obtient la possibilité de continuer à traiter les données non identifiables.
En effet, le lien entre la personne concernée et la donnée devient secret. De cette manière, les principes de la protection des données sont conservés, les risques sont contrôlés et le responsable de traitement conserve la possibilité de traiter les données pseudonymisées. Et cette opération est réversible.
Attention toutefois, ne pas confondre la pseudonymisation et l’anonymisation qui sont deux termes bien différents et ne concernent pas les mêmes besoins. En effet, une fois l’anonymisation faite, il est impossible de faire le lien entre une donnée personnelle et la personne à laquelle elle appartient. De plus, les régimes légaux sont différents. Contrairement à la pseudonymisation, l’anonymisation n’est pas soumise à l’application du RGPD.
Un volet important de ces lignes directrices porte en outre sur les moyens de sécurité devant être pris en compte au moment de la pseudonymisation de données. Dans ses lignes directrices, le CEPD a souhaité en effet porter une attention particulière
Le 18 décembre dernier, les Autorités Européennes de Surveillance (AES) ont publié les conclusions du galop d’essai de tenue et d’envoi de registres d’information des contrats TIC par des entités volontaires.
Le constat semble positif : ce Dry Run confirme que l’objectif de déclaration des registres d’information en 2025 est atteignable.
Cet exercice, dédié à la déclaration des registres d’information, s’inscrit dans le cadre de la préparation à l’application du règlement DORA, prévue pour le 17 janvier 2025 et avait pour but de tester les capacités de ces entités à répondre à ces exigences avant cette date.
Près de 1 000 entités financières de l’Union européenne ont participé à l’exercice. Les AES ont appliqué 116 points de contrôles de qualité et ont obtenu les résultats suivants :
Les AES considèrent que la qualité actuelle des données ainsi que l’enthousiasme des volontaires est encourageante, bien qu’un travail supplémentaire soit nécessaire pour
Le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique, dit « DORA » (pour « Digital Operational Resilience Act ») entre très prochainement en application (le 17 janvier 2025 pour les retardataires).
Mais entre règlements, directives, orientations et autres actes européens, les risques de doublon et de chevauchement de normes sont nombreux et on pense bien évidemment ici à la directive Solvabilité II.
Or DORA a notamment pour objectif d’avoir un caractère exhaustif permettant d’harmoniser les règles dans tout le territoire de l’UE. Ces modifications auront en commun le domaine de l’utilisation des technologies de l’information et de la communication.
L’EIOPA s’est ainsi officiellement saisie de cette question avec les actions suivantes :
Le 15 novembre dernier, l’EIOPA s’est enfin exprimée sur l’impact de l’augmentation des seuils de taille d’exclusion du champ d’application de Solvabilité II (dans le cadre de la future directive de révision) par rapport à l’entrée en application du règlement DORA le 17 janvier 2025.
En effet, les organismes assujettis à Solvabilité II sont ceux qui entrent dans le champ d’application de DORA dès 2025. Cependant, la révision de Solvabilité II introduit notamment une notion de proportionnalité en excluant les plus petites structures de son champ d’application.
