DORA et le RGPD (Règlement Général sur la Protection des Données) sont deux réglementations distinctes mais qui se croisent inévitablement lorsqu'un incident TIC implique des données personnelles. Pour les entités financières, maîtriser cette articulation est essentiel pour éviter les manquements sur les deux fronts simultanément.

Points de Convergence DORA-RGPD

Les deux règlements convergent sur plusieurs points. La sécurité des données : DORA impose des mesures de protection des systèmes TIC qui incluent la protection des données ; le RGPD impose des mesures de sécurité appropriées pour les données personnelles (article 32 RGPD). La notification des violations : une cyberattaque affectant des données personnelles déclenche à la fois la notification DORA (au superviseur financier) et la notification RGPD (à la CNIL). La documentation : les deux réglementations imposent une documentation des mesures de sécurité et des incidents.

Délais de Notification : Coordination Indispensable

Un incident cyber affectant des données personnelles crée deux obligations de notification parallèles avec des délais différents. DORA : notification initiale dans les 4 heures après classification comme incident majeur, rapport intermédiaire dans les 72 heures. RGPD : notification à la CNIL dans les 72 heures après la prise de connaissance de la violation (article 33 RGPD). Ces chronologies se superposent et nécessitent une coordination interne claire entre les équipes DORA et DPO.

Partage d'Information Cyber et RGPD

Le chapitre VI de DORA encourage le partage d'informations sur les cybermenaces. Ces informations peuvent contenir des données personnelles (adresses IP, indicateurs de compromission). DORA précise que ce partage est compatible avec le RGPD sous certaines conditions, notamment la minimisation des données et la base légale de l'intérêt légitime ou de l'exécution d'une mission d'intérêt public.

Conclusion

DORA et le RGPD ne sont pas concurrents mais complémentaires. DORA assure la résilience des systèmes ; le RGPD protège les données qui y transitent. Les entités financières qui gèrent ces deux obligations en silo prennent le risque de manquer à l'une d'elles lors d'un incident. Une approche intégrée — avec coordination entre le RSSI, le DPO et la conformité DORA — est la seule approche efficace.

Questions fréquentes

Faut-il notifier à la fois l'ACPR et la CNIL en cas d'incident cyber ?

Si l'incident cyber est à la fois un incident TIC majeur au sens DORA et une violation de données personnelles au sens RGPD, oui. La notification DORA va à l'ACPR (ou AMF), la notification RGPD va à la CNIL. Ces deux notifications peuvent être coordonnées mais ne se substituent pas l'une à l'autre.