OVG NRW (20 fév. 2025) : pas d’obligation générale d’E2E

Le 20 février 2025, l’OVG Nordrhein‑Westfalen (Münster) a jugé qu’il n’existe pas d’« obligation générale » de chiffrement de bout en bout (E2E) pour l’envoi de données personnelles : une transport encryption correctement paramétrée peut suffire selon le risque (affaire 16 B 288/23). Voici comment adopter un chiffrement « juste nécessaire » et robuste, avec preuves à l’appui.

Les faits

Le tribunal (référence 16 B 288/23) a rejeté la demande d’E2E systématique et l’argument selon lequel TLS 1.2 ne serait plus conforme dès lors que TLS 1.3 existe. Il rappelle que l’article 32 RGPD impose des « mesures appropriées » fondées sur les risques et l’état de la technique, sans mécanisme unique ; la transport encryption peut être suffisante selon le contexte. Le raisonnement cite les référentiels du BSI (baustein CON.9 – Informationsaustausch).

Source officielle (décision complète, en allemand) : NRW Justiz – OVG NRW, 16 B 288/23, 20.02.2025. Analyse d’actualité : WBS Legal – OVG Münster : pas d’obligation générale d’E2E. Référentiel BSI cité : BSI IT‑Grundschutz – CON.9 Informationsaustausch.

Le cadre légal qui s’applique

RGPD – article 32 : impose des mesures techniques et organisationnelles « appropriées », en tenant compte de l’état de l’art, des coûts, du contexte et du risque. L’OVG confirme que l’adéquation se démontre via une analyse de risques documentée, une configuration correcte des protocoles et une réévaluation périodique. Pour un rappel des principes, voir le référentiel RGPD.

Luxembourg – CSSF 22/806 (externalisation & cloud) : la circulaire exige que les contrats et l’architecture cloud mettent en place des contrôles de confidentialité (chiffrement, gestion des clés) avec répartition claire des responsabilités. Version à jour (avril 2025) : CSSF – Circulaire 22/806 et FAQ : CSSF FAQ 22/806.

Conséquence pratique : l’obligation n’est pas « E2E partout », mais un chiffrement proportionné et prouvable : in‑transit/TLS à jour, at‑rest avec gestion de clés maîtrisée, et E2E/surchiffrement là où le risque l’exige.

La solution technique à déployer

Objectif : prouver que votre chiffrement est « approprié » au sens de l’article 32 RGPD et compatible CSSF 22/806.

• Chiffrement in‑transit : standardiser TLS 1.3, durcir les suites (ECDHE + AES‑GCM/CHACHA20‑POLY1305), activer HSTS et OCSP stapling ; côté e‑mail, MTA‑STS et DANE pour imposer la TLS opportuniste. L’OVG reconnaît qu’une transport encryption à l’état de l’art peut suffire selon le contexte.
• Chiffrement at‑rest : AES‑256 (ou équivalent) pour bases, disques et objets ; segmentation réseau ; gestion de clés avec HSM/KMS, rotation, escrow contrôlé et journalisation (alignement ISO 27001 Annexe A.8.24).
• E2E/surchiffrement ciblé : S/MIME/PGP pour les correspondances à haut risque (santé, secret d’affaires, RH), tunnels applicatifs (mTLS), boîte chiffrée côté client si le modèle de menace le justifie.
• Gouvernance crypto : politique de cryptographie et de gestion de clés, registre des usages, revues périodiques et veille (ex. lignes directrices EPC : EPC342‑08/2025). Le pilotage peut être confié à un CISO externalisé pour structurer et documenter les preuves.

Références de contrôle : ISO/IEC 27001:2022 Annexe A.8.24 (cryptographie) ; NIST SP 800‑57 (cycle de vie des clés) ; CIS Controls v8 – Control 3. Anticiper la normalisation post‑quantique (NIST PQC 2024) et viser la « crypto‑agilité ».

Comment Luxgap déploie cela

• Gouvernance ISO 27001 : politique cryptographique, registre des usages, exigences minimales (TLS 1.3, AES‑256, mTLS, MTA‑STS/DANE), critères déclencheurs d’E2E, plan de migration PQC.
• Consultants DPO et CISO externalisés : cartographie des traitements, risk assessment RGPD art. 32 et DPIA, shared responsibility cloud (22/806) et clauses contractuelles (KMS, localisation, journaux).
• SOC managé (si requis) : supervision des certificats, dérives de ciphers, échecs mTLS, détection d’exfiltration non chiffrée et conformité continue des passerelles. Voir notre offre de SOC managé.

Approche pragmatique : prioriser les flux à risque, réaliser des preuves sur passerelles e‑mail et interconnexions applicatives, puis déployer par paliers avec critères mesurables.

Cas concret au Luxembourg/UE

Pour une institution financière luxembourgeoise (périmètre CSSF 22/806) exposée à des correspondances sensibles, nous avons :

• Imposé TLS 1.3 (web/API), HSTS, et pour l’e‑mail MTA‑STS/DANE sur les domaines critiques.
• Déployé S/MIME pour des cas d’usage à haut risque, avec gestion des certificats et formation.
• Consolidé le KMS cloud (rotation, séparation des rôles, journaux immuables) et créé un registre crypto auditable.

Résultat : conformité démontrable à l’article 32 RGPD et à la CSSF 22/806, charge opérationnelle maîtrisée et maturité mesurable.

Premiers pas concrets

1. Cartographier les flux de données personnelles et qualifier leur risque.
2. Durcir l’in‑transit : activer TLS 1.3, supprimer les ciphers faibles, HSTS ; pour l’e‑mail, publier MTA‑STS et TLS‑RPT, évaluer DANE.
3. Sécuriser l’at‑rest : AES‑256 (ou équivalent), KMS/HSM centralisé, rotation et accès « juste nécessaire ».
4. Définir la politique crypto (ISO 27001 A.8.24) : algorithmes approuvés, tailles et durées de vie, déclencheurs d’E2E, processus d’exception.
5. Traiter l’externalisation cloud (CSSF 22/806) : clarifier chiffrement/clefs dans les contrats, tester la réversibilité, consigner les preuves (rapports TLS, inventaire clés, journaux d’accès).

Sources officielles

• Décision : OVG Nordrhein‑Westfalen, 16 B 288/23, 20.02.2025.
• Analyse : WBS Legal – OVG Münster : pas d’obligation générale d’E2E.
• Référentiel BSI : BSI IT‑Grundschutz – CON.9 Informationsaustausch.
• Luxembourg (réglementaire) : CSSF – Circulaire 22/806 et FAQ 22/806.
• Bonnes pratiques crypto : EPC342‑08/2025 – Guidelines on Cryptographic Algorithms & Key Management.

Message clé (mai 2026) : depuis l’OVG Münster, l’attente n’est pas « E2E partout », mais une preuve que votre chiffrement est proportionné, à jour et gouverné — une approche que peuvent piloter des experts RSSI externalisés au service de la conformité RGPD.