VPN & TPE

Le RGPD et la sécurité des accès distants

Le RGPD (Règlement Général sur la Protection des Données) impose à toute organisation traitant des données personnelles de mettre en place des mesures techniques et organisationnelles appropriées pour protéger ces données (article 32). Ce n'est pas une obligation de résultat mais une obligation de moyens — il s'agit de démontrer que des mesures proportionnées au risque ont été mises en place.

Pour les accès distants, cela se traduit concrètement par : sécurisation des connexions (chiffrement du transit), contrôle des accès (qui peut se connecter à quoi), traçabilité (journaux d'accès), et gestion des départs (révocation des accès en temps réel).

Votre fournisseur VPN est un sous-traitant

Si vous utilisez un service VPN managé par un tiers et que vos collaborateurs y connectent des appareils traitant des données personnelles (données clients, données RH, données de santé...), ce fournisseur est juridiquement un sous-traitant au sens de l'article 28 du RGPD. Cela impose :

Le CLOUD Act et les fournisseurs américains

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) permet aux autorités américaines d'exiger d'une entreprise soumise à la juridiction américaine l'accès à des données qu'elle contrôle, même si ces données sont physiquement stockées en Europe. Un fournisseur VPN immatriculé aux États-Unis — ou dont la maison-mère est américaine — est soumis à cette loi.

Cela signifie que ni la localisation des serveurs en Europe, ni la politique de non-journalisation déclarée, ni un audit technique ne protègent contre une injonction CLOUD Act. Pour les TPE traitant des données sensibles (secret professionnel, données de santé, données clients soumises à confidentialité), le choix de la juridiction du fournisseur est un critère de conformité réel, pas théorique.

Conséquence pratique

Pour les TPE françaises soucieuses de cette dimension, les fournisseurs européens (Suisse, Islande, Pays-Bas, Allemagne) ou les solutions autohébergées sur infrastructure européenne offrent plus de garanties juridictionnelles qu'un fournisseur américain avec des serveurs en France.

NIS2 — qui est concerné parmi les TPE ?

La directive NIS2 (Network and Information Security Directive 2, en vigueur depuis octobre 2024) élargit les obligations de cybersécurité à un périmètre sectoriel large : énergie, transports, santé, eau, infrastructures numériques, services postaux, chimie, agroalimentaire, industrie manufacturière critique, et services numériques.

Les TPE sont majoritairement hors périmètre direct de NIS2 — la directive s'applique à partir de certains seuils (50 employés ou 10 millions d'euros de CA pour les entités importantes). Mais une TPE qui est fournisseur ou sous-traitant d'une entité NIS2 peut se voir imposer des exigences équivalentes par son donneur d'ordre.

Les exigences NIS2 pertinentes pour les accès distants : politiques formalisées de contrôle d'accès, MFA pour les systèmes critiques, notification des incidents dans des délais stricts (24 heures pour un rapport initial).

Ce que la conformité impose concrètement