C’est tout du moins ce qu’il semble résulter d’une lecture a contrario d’une décision Interserve Group Limited de l’Information Commissioner’s Office (ICO), du 24 octobre 2022.
Il était reproché au responsable de traitement d’avoir recours au système d’exploitation Microsoft Server 2003 R2, dont le support avait définitivement pris fin en 2015.
Dans ce genre de situation, le plus simple est de changer d’OS. Mais ce n’est pas toujours possible, pour des raisons pratiques ou techniques. On pense ici à différents équipements hospitaliers, et notamment au bioméd, qu’on ne peut pas « simplement » mettre à jour.
L’ICO semble recommander une approche pragmatique. Après avoir relevé qu’il avait une parfaite conscience du risque, l’autorité anglaise a reproché à Interserve de ne pas avoir réalisé une analyse formelle des risques inhérents à cette situation.
En clair, s’il avait réalisé cette analyse, il aurait pu déterminer les mesures de sécurité – notamment logiques – à prendre pour compenser les vulnérabilités affectant l’OS obsolète.
Idéalement, le dossier de conformité RGPD devrait, en parallèle, documenter les raisons empêchant de migrer vers un système supporté.