Le RGPD et la sécurité des accès distants
Le RGPD (Règlement Général sur la Protection des Données) impose à toute organisation traitant des données personnelles de mettre en place des mesures techniques et organisationnelles appropriées pour protéger ces données (article 32). Ce n'est pas une obligation de résultat mais une obligation de moyens — il s'agit de démontrer que des mesures proportionnées au risque ont été mises en place.
Pour les accès distants, cela se traduit concrètement par : sécurisation des connexions (chiffrement du transit), contrôle des accès (qui peut se connecter à quoi), traçabilité (journaux d'accès), et gestion des départs (révocation des accès en temps réel).
Votre fournisseur VPN est un sous-traitant
Si vous utilisez un service VPN managé par un tiers et que vos collaborateurs y connectent des appareils traitant des données personnelles (données clients, données RH, données de santé...), ce fournisseur est juridiquement un sous-traitant au sens de l'article 28 du RGPD. Cela impose :
- Un contrat de traitement des données (DPA) : document précisant quelles données sont traitées, à quelles fins, avec quelles mesures de sécurité. L'absence de DPA est une non-conformité. La CNIL a sanctionné des responsables de traitement pour cette raison.
- La vérification des sous-traitants ultérieurs : votre fournisseur VPN peut lui-même héberger son infrastructure chez un tiers. Ce sous-traitant de sous-traitant doit offrir les mêmes garanties.
- La documentation du traitement : ce traitement doit figurer dans votre registre des activités de traitement (article 30 du RGPD), obligatoire pour toute organisation de plus de 250 personnes et recommandé pour les plus petites.
Le CLOUD Act et les fournisseurs américains
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) permet aux autorités américaines d'exiger d'une entreprise soumise à la juridiction américaine l'accès à des données qu'elle contrôle, même si ces données sont physiquement stockées en Europe. Un fournisseur VPN immatriculé aux États-Unis — ou dont la maison-mère est américaine — est soumis à cette loi.
Cela signifie que ni la localisation des serveurs en Europe, ni la politique de non-journalisation déclarée, ni un audit technique ne protègent contre une injonction CLOUD Act. Pour les TPE traitant des données sensibles (secret professionnel, données de santé, données clients soumises à confidentialité), le choix de la juridiction du fournisseur est un critère de conformité réel, pas théorique.
Pour les TPE françaises soucieuses de cette dimension, les fournisseurs européens (Suisse, Islande, Pays-Bas, Allemagne) ou les solutions autohébergées sur infrastructure européenne offrent plus de garanties juridictionnelles qu'un fournisseur américain avec des serveurs en France.
NIS2 — qui est concerné parmi les TPE ?
La directive NIS2 (Network and Information Security Directive 2, en vigueur depuis octobre 2024) élargit les obligations de cybersécurité à un périmètre sectoriel large : énergie, transports, santé, eau, infrastructures numériques, services postaux, chimie, agroalimentaire, industrie manufacturière critique, et services numériques.
Les TPE sont majoritairement hors périmètre direct de NIS2 — la directive s'applique à partir de certains seuils (50 employés ou 10 millions d'euros de CA pour les entités importantes). Mais une TPE qui est fournisseur ou sous-traitant d'une entité NIS2 peut se voir imposer des exigences équivalentes par son donneur d'ordre.
Les exigences NIS2 pertinentes pour les accès distants : politiques formalisées de contrôle d'accès, MFA pour les systèmes critiques, notification des incidents dans des délais stricts (24 heures pour un rapport initial).
Ce que la conformité impose concrètement
- Signer un DPA avec votre fournisseur VPN avant tout déploiement impliquant des données personnelles.
- Activer le MFA sur tous les accès VPN — c'est à la fois une bonne pratique et une exigence croissante des référentiels réglementaires.
- Documenter la procédure de révocation des accès et l'appliquer systématiquement lors des départs.
- Vérifier que les logs d'accès (qui se connecte, quand, depuis quelle IP) sont conservés selon une durée proportionnée et documentée.
- Si vous êtes sous-traitant d'une entité sensible, vérifier les exigences de votre donneur d'ordre — elles peuvent être plus strictes que la réglementation générale.