L’application du Règlement Général sur la Protection des Données (RGPD) oblige, depuis le 25 mai 2018, toutes les organisations publiques et privées ainsi que toutes les entreprises à implémenter un système de gestion du risque associé au traitement des données personnelles qui tombent en leur possession.
En 2017, 79% des entreprises ont déclaré avoir subi au moins une cyber attaque, et de ce groupe, 77% étaient des Petites et Moyennes Entreprises. Les attaques provenaient à 30% des employés eux-mêmes, alors que les attaques provenant des fournisseurs, consultants et contractants représentaient 32%. Concernant les attaques externes, 25% provenaient des hackers, alors que 34% avaient pour origine les concurrents.
Le RGPD est venu harmoniser la réglementation sur la protection des données personnelles au niveau européen. Son objectif est de protéger les personnes physiques au regard du traitement de leurs données qui sont de nature personnelle. La conséquence directe de ce règlement pour les entreprises et les collectivités territoriales et que celles-ci doivent entrer dans une logique de traitement responsable des données personnelles.
Le traitement des données personnelles
Une donnée personnelle est toute information qui se rapporte à une personne physique identifiée ou identifiable, soit directement par son nom et son prénom, soit indirectement par un identifiant tel un numéro client, un numéro de téléphone, une caractéristique biométrique telle l’ADN, le contour de la main ou les empreintes digitales, ou encore des critères spécifiques à son identité physiologique, génétique, psychique, économique, culturelle ou sociale. La voix et l’image comptent comme des identifiants, et font donc aussi partie des données personnelles.
Le traitement des données personnelles inclut toute opération ou regroupement d’opérations appliqué aux données personnelles telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation ou la transmission, la diffusion et la mise à disposition des données personnelles. Ces procédés peuvent être automatisés ou non, ce qui fait que les fichiers papiers sont aussi concernés par le RGPD.
Pour savoir si votre entreprise est concernée par le RGPD, il vous suffit d’appliquer les définitions ci-dessus sur les données personnelles et sur leur traitement dans le cadre de votre activité professionnelle. De ce fait, si vous traitez des données permettant d’identifier directement ou indirectement une personne physique, si ce traitement inclut des opérations telles que la collecte, le stockage et l’utilisation (comprenant aussi les fichiers papier classés) durant votre activité professionnelle.
Et si le traitement des données a lieu sur le territoire de l’Union Européenne (par votre entreprise, un responsable de traitement ou un sous-traitant) ou que les personnes concernées par le traitement des données se trouvent sur le territoire de l’Union Européenne pour les activités d’échange de biens ou services, alors le RGPD entre en application.
Les obligations des entreprises au titre du RGPD
Les entreprises sont tenues de mettre en place un système de gestion des données personnelles qui soit adapté à leur taille mais aussi à la sensibilité des données personnelles traitées.
Les entreprises doivent notamment :
- Protéger les données personnelles par des mesures techniques et des changements organisationnels.
- Mettre en place une gouvernance et, le cas échéant, nommer un délégué à la protection des données personnelles (DPO). Si vous n’êtes pas dans l’obligation de nommer un DPO, il vous est recommandé de désigner un représentant sur une base pilote afin de suivre l’implémentation du plan de conformité au RGPD.
- Développer et mettre à jour la documentation démontrant la conformité au RGPD.
- Prendre en compte la protection des données dès la phase de design du produit ou du service
- Reporter les cas de violations de données près de la CNIL, mais aussi à la personne concernée au cas où ses droits et libertés se retrouvent hautement à risque par la violation des données.
Les risques de la mise en jeu de la responsabilité civile
La responsabilité civile de l’entreprise peut être engagée en cas de violation des données personnelles lors du traitement. N’importe quelle personne qui a subi un préjudice à cause d’une atteinte à ses données personnelles peut engager la responsabilité civile de l’entreprise responsable. Cette personne peut être un salarié, un client, un administré, un adhérent, entre autres.
Les failles de sécurité peuvent résulter en la destruction, la perte, la divulgation ou l’accès non autorisé à des données personnelles durant le traitement des données, et peuvent être d’origine accidentelle (par exemple une divulgation des données par erreur par un salarié) ou malveillante (par exemple dans le cas de cyber-attaques). Si les dommages résultent en des pertes matérielles ou financières ou si un préjudice moral est subi, votre responsabilité civile sera engagée.
Tout d’abord, une violation de la protection des données personnelles va certainement porter atteinte à la réputation et à l’image de votre entreprise. Vous pouvez aussi recevoir une amende administrative si jamais la CNIL ou toute autre autorité administrative entame une procédure contre votre entreprise.
La sanction financière peut atteindre jusqu’à 4% du chiffre d’affaire global annuel, ou même 20 millions d’euros. Vous pouvez aussi être poursuivi au pénal et recevoir une amende allant jusqu’à 300000 euros et faire face à une peine d’emprisonnement pouvant aller jusqu’à 5 ans. Au-delà de ces amendes, vous allez encourir des frais de notification de la violation des données personnelles à la CNIL et aux personnes concernées.
Les principales mesures de prévention
Les mesures de prévention sont nombreuses et dépendent de la taille de l’entreprise et de la nature des données qu’elle traite dans le cadre de son activité. Néanmoins, quelques grandes lignes peuvent être suivies afin de s’assurer que les données personnelles seront bien protégées.
Dans un premier temps, il vous faut recenser tous les traitements de données personnelles ayant cours dans le cadre de votre activité, que ces traitements soient automatisés ou pas. Dans un deuxième temps, vous devez identifier les risques associés à chaque type de traitement (accès illégitime, modification non voulue des données, effacement des données).
Dans un troisième temps, vous devez identifier les sources de risques. Celles-ci peuvent être des sources humaines internes et externes, des sources malveillantes, ou des sources non-humaines.
Il est par ailleurs primordial d’identifier :
- Les responsables opérationnels traitant les données personnelles, notamment les sous-traitants qui peuvent être un maillon clé dans la gestion des données personnelles
- Les catégories de données et celles qui font encourir le plus grand risque
- Les raisons pour lesquelles vous collectez les données
- Les lieux où sont stockées les données
- Le temps de conservation des données
- Les mesures de sécurité implémentées pour réduire les risques
Le rôle des compagnies d’assurance
Les compagnies d’assurance peuvent vous accompagner dans la garantie d’assurance CYBER, face au risque de mise en jeu de responsabilité civile dans le cadre de violation des données personnelles. Il est bon de noter que certains éléments ne sont pas assurables.
Ce qui est couvert par les assurances :
- Les frais de notification à la CNIL et aux personnes concernées par la violation des données personnelles
- Les frais de gestion de crise tels que les coûts de communication et les coûts engendrés pour préserver la réputation et l’image de l’entreprise
- Les conséquences financières telles que les dommages corporels, matériels et immatériels (par exemple les pertes financières) et le préjudice moral subi
- Les frais de défense, notamment pour le conseil juridique sollicité
- Les frais de prise en charge de prestations telles que l’expertise et l’assistance informatique, la mise en place d’une ligne téléphonique, la reconstitution des données (par les sauvegardes informatiques lorsque celles-ci sont disponibles et exploitables), ainsi que le nettoyage.
Ce qui n’est pas couvert par les assurances :
- Les sanctions pénales encourues
- Les conséquences résultant de la collecte illicite des données personnelles ou confidentielles par l’entreprise
Pensez à vérifier que vous avez effectivement souscrit à une garantie assurance CYBER et si c’est bien le cas, vérifiez aussi le montant maximal couvert par la garantie ainsi que son étendue.