Le Schéma National de Sécurité espagnol (ENS) et le RGPD sont deux réglementations distinctes avec un point de rencontre : les mesures de sécurité. L'ENS protège les systèmes d'information du secteur public et sa chaîne de prestataires ; le RGPD protège les données personnelles. Ils se chevauchent dans les mesures techniques et organisationnelles : la disposition additionnelle première de la LOPDGDD espagnole établit que les administrations remplissent l'article 32 du RGPD en appliquant l'ENS. Bien travailler l'un vous permet d'avancer considérablement sur l'autre.
C'est l'une des confusions les plus fréquentes que je rencontre lorsqu'une administration ou une entreprise qui répond aux appels d'offres du secteur public s'assoit pour organiser sa mise en conformité : l'ENS et le RGPD sont-ils la même chose ? Si je suis certifié au Schéma National de Sécurité espagnol, est-ce que je respecte déjà la protection des données ? Dois-je réaliser deux analyses de risques, deux inventaires, deux audits ? La réponse courte est qu'ils ne sont pas la même chose, mais qu'ils partagent un terrain commun si vaste qu'ignorer ce fait revient à perdre de l'argent et du temps. Séparons ce que chacun protège, définissons précisément où ils se chevauchent et expliquons comment réutiliser le travail d'une réglementation pour l'autre.
Que protège l'ENS et que protège le RGPD ?
La différence fondamentale réside dans l'objet de chaque réglementation, et c'est la clé pour ne pas les confondre.
Le Schéma National de Sécurité espagnol (ENS), réglementé par le Décret Royal 311/2022 et fondé légalement sur la Loi 40/2015, protège les systèmes d'information : serveurs, applications, réseaux, sauvegardes, processus. Sa question est « mes systèmes sont-ils sécurisés et fiables ? ». Il mesure la sécurité selon cinq dimensions — confidentialité, intégrité, traçabilité, authenticité et disponibilité (l'ensemble dit CIDAT) — et classe chaque système en catégorie de base, moyenne ou élevée selon l'impact qu'aurait un incident.
Le RGPD (Règlement UE 2016/679), quant à lui, protège les personnes physiques en ce qui concerne le traitement de leurs données personnelles. Sa question est « est-ce que je traite les données des personnes de façon licite, loyale et sécurisée ? ». Il couvre bien plus que la sécurité : licéité du traitement, information aux personnes concernées, droits d'accès ou d'effacement, base juridique, délais de conservation, transferts internationaux… La sécurité n'en est qu'une pièce, pas toute la réglementation.
Autrement dit : l'ENS est une réglementation de sécurité de l'information ; le RGPD est une réglementation de protection des données qui, entre beaucoup d'autres choses, exige également de la sécurité. C'est pourquoi l'un ne remplace pas l'autre, mais c'est précisément pour cela qu'ils se croisent en un point très précis.
Où se chevauchent exactement l'ENS et le RGPD ?
Le chevauchement se situe dans un seul article du RGPD : l'article 32, « Sécurité du traitement ». Cet article oblige le responsable et le sous-traitant à mettre en œuvre « des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Il cite expressément, entre autres, le chiffrement et la pseudonymisation, la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes, le rétablissement après un incident et la vérification périodique de l'efficacité de ces mesures.
Cette liste de l'article 32 est, presque mot pour mot, le langage de l'ENS. Les cinq dimensions du CIDAT sont les mêmes propriétés de sécurité que l'article 32 demande de garantir. Et il y a un second point de contact en amont : l'article 5.1.f du RGPD, le principe « d'intégrité et de confidentialité », qui énonce comme objectif ce que l'article 32 concrétise en mesures. Là où le RGPD dit « garantissez la confidentialité, l'intégrité et la disponibilité », l'ENS répond « voici le catalogue de contrôles de l'Annexe II pour y parvenir ».
Le chevauchement n'est donc pas une coïncidence : c'est l'ensemble des mesures de sécurité techniques et organisationnelles. En dehors de cet ensemble, chaque réglementation suit son chemin. L'ENS ne vous dit rien sur la manière d'informer une personne concernée ni sur la base juridique d'un traitement ; le RGPD n'exige pas que vous catégorisiez vos systèmes en de base/moyenne/élevée ni que vous passiez l'audit de conformité du CCN.
La pièce légale qui unit les deux réglementations : la disposition additionnelle première de la LOPDGDD
Voici le fait qui boucle la boucle et que beaucoup de personnes ne connaissent pas. La Loi Organique espagnole 3/2018 (LOPDGDD), qui adapte le RGPD en Espagne, inclut une disposition additionnelle première intitulée « Mesures de sécurité dans le domaine du secteur public ». Cette disposition est la charnière entre les deux mondes, et elle dit deux choses décisives :
- Paragraphe 1 : le Schéma National de Sécurité espagnol inclura les mesures qui devront être mises en place en cas de traitement de données personnelles pour éviter leur perte, leur altération ou leur accès non autorisé, en adaptant les critères de détermination du risque dans le traitement des données à ce qu'établit l'article 32 du Règlement (UE) 2016/679.
- Paragraphe 2 : les responsables du secteur public appliqueront aux traitements de données personnelles les mesures de sécurité correspondantes prévues dans le Schéma National de Sécurité. Et lorsqu'un tiers fournit le service (concession, délégation de gestion ou marché), ses mesures doivent être celles de l'administration d'origine et s'aligner sur l'ENS.
La conséquence est claire : pour une administration publique espagnole, respecter l'ENS est la façon de respecter l'article 32 du RGPD. Ce ne sont pas deux cadres de sécurité concurrents à concilier manuellement ; le législateur espagnol les a déjà connectés. Le CCN-CERT lui-même l'a énoncé sans détour : l'ENS recueille les mesures que le secteur public doit appliquer pour respecter les exigences du RGPD dans ce domaine.
ENS vs RGPD : tableau comparatif
Voici la comparaison que j'utilise pour qu'un comité de direction comprenne en trente secondes qu'il fait face à deux réglementations avec un point de rencontre, et non à une réglementation dupliquée.
| Critère | ENS espagnol | RGPD |
|---|---|---|
| Ce qui est protégé | Les systèmes d'information (données, services, infrastructure) | Les données personnelles des personnes physiques |
| Réglementation de référence | DR 311/2022 ; base dans la Loi 40/2015 | Règlement UE 2016/679 ; LOPDGDD 3/2018 en Espagne |
| Qui est concerné | Secteur public et prestataires lui fournissant des services | Tout responsable ou sous-traitant traitant des données personnelles (public ou privé) |
| Approche | Sécurité de l'information (cinq dimensions, CIDAT) | Protection des données intégrale (licéité, droits, sécurité, etc.) |
| Comment ça se mesure | Catégorie de base / moyenne / élevée selon l'impact | Analyse des risques pour les droits et libertés ; AIPD si risque élevé |
| Point de chevauchement | Mesures techniques et organisationnelles de sécurité : Annexe II de l'ENS ≈ article 32 du RGPD (reliés par la disposition additionnelle première de la LOPDGDD) | |
| Qui supervise | CCN ; audit de conformité et certification | AEPD et autorités de protection des données |
| Régime de sanction | Pas d'amendes propres ; le non-respect est une responsabilité administrative | Amendes jusqu'à 20 millions d'€ ou 4 % du chiffre d'affaires annuel |
Puis-je réutiliser le travail de l'ENS pour le RGPD (et vice versa) ?
Oui, et c'est précisément ce que je recommande pour ne pas payer deux fois la même chose. Le chevauchement se traduit en livrables partagés. Voici ceux que je réutilise dans presque tous les projets :
- Inventaire des actifs et des systèmes. L'ENS exige de connaître vos systèmes ; le RGPD exige de savoir où se trouvent les données personnelles. Un seul inventaire alimente les deux : quel système traite quelles données, avec quel niveau de criticité.
- Analyse des risques. L'analyse des risques de l'ENS (sur les cinq dimensions) et l'évaluation des risques de l'article 32 du RGPD partagent une méthodologie. La disposition additionnelle première demande précisément d'adapter les critères de risque de l'ENS à l'article 32. Une seule analyse technique sert les deux, bien que le RGPD ajoute la perspective des droits des personnes.
- Mesures de sécurité de l'Annexe II. Chiffrement, contrôle d'accès, journalisation des activités, sauvegardes, gestion des incidents… ce sont exactement les mesures que l'article 32 s'attend à voir implantées. Implanter l'Annexe II de l'ENS revient, en pratique, à documenter les mesures techniques et organisationnelles que le RGPD vous exigera de prouver.
- Gestion des incidents et notification des violations. L'ENS vous oblige à avoir une procédure de réponse aux incidents ; le RGPD vous oblige à notifier les violations de données personnelles à l'autorité de protection dans les 72 heures. Un même flux de détection et de réponse couvre les deux obligations, avec une branche spécifique pour la notification à l'autorité.
- Preuves pour l'audit. Les registres, politiques et traces que vous générez pour l'audit de conformité de l'ENS constituent la meilleure preuve de responsabilité proactive (accountability) que le RGPD exige du responsable.
Ce que vous ne pouvez pas réutiliser, car cela n'existe pas dans l'ENS, c'est la couche purement « données » du RGPD : le registre des activités de traitement, les bases juridiques, les clauses d'information, les contrats de sous-traitance, la gestion des droits des personnes concernées ou l'Analyse d'Impact relative à la Protection des Données (AIPD) lorsque le traitement comporte un risque élevé. Cette partie doit être construite séparément.
Et les entreprises privées ? L'ENS par entraînement contractuel
Une idée très répandue — et erronée — est que l'ENS « ne concerne que les administrations ». En pratique, l'ENS atteint de nombreuses entreprises privées par entraînement contractuel. La disposition additionnelle première le dit et les cahiers des charges le confirment : si vous fournissez un service au secteur public impliquant le traitement de ses données ou systèmes, vous devez appliquer les mesures de l'ENS correspondant à la catégorie du service. Cela fait de la conformité à l'ENS une exigence de nombreux appels d'offres.
Pour ces entreprises, le croisement ENS-RGPD est doublement rentable : la conformité à l'ENS qu'exige le marché public vous offre, presque en bonus, une grande partie des mesures de sécurité de l'article 32 que le RGPD vous imposait déjà en tant que responsable de vos propres traitements.
Par où commencer : l'ENS ou le RGPD ?
Il n'y a pas d'ordre universel, mais il existe une logique qui fonctionne presque toujours. Si vous êtes une administration publique ou un prestataire obligé par contrat, commencez par l'ENS : il vous donne le cadre de sécurité structuré (inventaire, catégorisation, mesures de l'Annexe II) et, ce travail réalisé, l'article 32 du RGPD est en grande partie couvert. Sur cette base, vous ajoutez la couche données du RGPD : registre des traitements, bases juridiques, droits et information aux personnes concernées.
Si vous êtes une entreprise privée sans marchés publics, commencez par le RGPD, car c'est votre obligation directe, et utilisez l'ENS (ou l'ISO 27001) comme catalogue de référence pour concrétiser les mesures techniques de l'article 32. L'ordre compte moins que le principe : faites un seul inventaire, une seule analyse de risques et un seul ensemble de mesures, et laissez-les servir les deux réglementations. Travailler les cadres séparément, avec deux équipes et deux calendriers, est l'erreur qui génère le plus de surcoûts.
Erreurs fréquentes dans l'articulation ENS-RGPD
- Croire que l'ENS « couvre » le RGPD. Il couvre la sécurité (article 32), pas le reste : licéité, droits, information, transferts. Être certifié ENS et oublier le registre des traitements, c'est ne pas respecter le RGPD.
- Croire que le RGPD « couvre » l'ENS. Pas non plus : le RGPD n'exige pas de catégoriser les systèmes ni de passer l'audit de conformité du CCN. Ce sont des obligations spécifiques de l'ENS.
- Dupliquer l'analyse de risques. Faire une analyse pour la sécurité et une autre pour la protection des données, sans réutilisation, multiplie le coût sans apporter de valeur.
- Oublier les prestataires. Tant l'ENS (par la disposition additionnelle première et les cahiers des charges) que le RGPD (contrats de sous-traitance) étendent les obligations à la chaîne de prestataires. C'est là que se produisent le plus de vraies violations.
Questions fréquentes sur l'ENS et le RGPD
L'ENS espagnol couvre-t-il le RGPD ?
Pas entièrement. L'ENS couvre la partie sécurité du RGPD — l'article 32, mesures techniques et organisationnelles — grâce à la disposition additionnelle première de la LOPDGDD, qui relie les deux cadres pour le secteur public espagnol. Mais le RGPD est bien plus large : licéité du traitement, information aux personnes concernées, droits, bases juridiques, délais de conservation et transferts internationaux sont hors de portée de l'ENS. Être certifié ENS vous avance la sécurité, pas le reste de la conformité en matière de protection des données.
Où se chevauchent l'ENS espagnol et le RGPD ?
Ils se chevauchent dans les mesures de sécurité techniques et organisationnelles. L'article 32 du RGPD exige de garantir confidentialité, intégrité, disponibilité et résilience, et l'ENS fournit le catalogue concret de contrôles (Annexe II) et les cinq dimensions CIDAT pour y parvenir. La disposition additionnelle première de la LOPDGDD est la réglementation qui unit légalement les deux terrains.
Puis-je utiliser l'ENS espagnol pour respecter le RGPD ?
Oui, et c'est recommandé. Un seul inventaire des systèmes, une seule analyse de risques et un seul ensemble de mesures de l'Annexe II de l'ENS servent simultanément à accréditer la sécurité du traitement demandée par l'article 32 du RGPD. La gestion des incidents de l'ENS alimente également la notification des violations à l'autorité de protection. Ce que l'ENS ne vous donne pas — registre des traitements, bases juridiques, clauses d'information, AIPD, gestion des droits — doit être construit séparément.
Quelle est la différence entre la sécurité de l'ENS et celle du RGPD ?
Le RGPD fixe l'objectif de façon ouverte (« mesures appropriées au risque ») et laisse au responsable le choix de la façon de l'atteindre ; l'ENS apporte le comment détaillé : un catalogue fermé de mesures, organisé par catégories et dimensions, et vérifié par audit de conformité. C'est pourquoi ils s'articulent si bien : l'ENS est une réponse détaillée et auditable à l'exigence générique de l'article 32.
Conclusion : deux réglementations, un seul projet de conformité
L'ENS et le RGPD ne sont pas en concurrence : ils se complètent. L'ENS sécurise les systèmes ; le RGPD protège les personnes. Ils partagent le terrain des mesures de sécurité, et dans le secteur public espagnol ce terrain est cousu par la disposition additionnelle première de la LOPDGDD, qui fait de l'ENS la voie pour respecter l'article 32 du RGPD. Pour toute administration — ou tout prestataire qui répond à ses appels d'offres — la conclusion pratique est une : organisez tout comme un seul projet de conformité, avec un inventaire, une analyse de risques et un ensemble de mesures qui servent les deux réglementations, et construisez séparément uniquement la couche propre au RGPD que l'ENS ne couvre pas.
Sources
- Règlement (UE) 2016/679 (RGPD) — articles 5.1.f et 32, EUR-Lex
- Loi Organique espagnole 3/2018 (LOPDGDD) — disposition additionnelle première, BOE
- Décret Royal 311/2022, réglementant l'ENS espagnol — BOE
- Loi 40/2015, sur le Régime Juridique du Secteur Public (base légale de l'ENS) — BOE
- AEPD — Agence Espagnole de Protection des Données (guides sur la sécurité du traitement, article 32 RGPD)
- Portail ENS du CCN (Centre Cryptologique National)
Contenu élaboré par Ángel Ortega Castro. Informations indicatives à la date de rédaction ; l'état du programme peut évoluer. Consultez toujours le BOE et Red.es pour connaître les délais en vigueur.