Depuis l’entrée en vigueur le 25 mai 2018 du RGPD (« règlement européen sur la protection et la libre circulation des données à caractère personnel » n°2016/679) et son intégration dans la loi française dite « Informatique et Libertés » N°78-17, la CNIL comme l’ANSSI ont apporté des précisions sur les risques et pratiques à adopter en conséquence.
Les données personnelles, sorte de nouvel « or noir » de notre société mondialisée, peuvent être convoitées par des concurrents malveillants, par des « hackers» dans un objectif de revente ou de rançonnage, voire des Etats, dans des buts plus ou moins avouables.
À l’heure où les « cyber-attaques » se multiplient, nous avons pour impératif d’assurer la protection des données personnelles de nos clients, tout comme celles de nos salariés (qui sont également concernés par la nouvelle réglementation).
Nul doute également que l’ « e-réputation » des entreprises sera également valorisée, au regard de sa conformité ou non avec cette réglementation.
L’ANSSI dans son rapport 2018 a rappelé quelles étaient les cinq grandes menaces actuelles d’atteintes à la cyber-sécurité :
Il constitue le risque le plus élevé pour les organisations : l’objectif du cyber-espionnage est de s’introduire dans les infrastructures systèmes « les plus critiques » et d’en exfiltrer les données stratégiques. Les domaines de la défense, de la santé, et de la recherche sont des secteurs d’importance vitale qui peuvent être la cible de ce type d’attaque, tout comme les prestataires sous-traitants de ces organismes.
Ce type d’attaque informatique ciblant les fournisseurs et les prestataires techniques de grands groupes sont en hausse.
L’objectif est d’attaquer un intermédiaire puis d’utiliser les ressources de ce dernier pour accéder au réseau de plusieurs organisations.
Ces attaques, pouvant aller de l’attaque par déni de service au sabotage, ont été particulièrement nombreuses en 2018. Elles peuvent, selon le rapport 2018 de l’ANSSI, avoir été revendiquées « depuis la France ou l’étranger par des individus isolés comme par des groupes d’attaquants ».
Nouveau type de menace visant différents types d’appareils électroniques afin d’utiliser ces derniers pour « miner » de la cryptomonnaie (le bitcoin mais pas que) à votre insu.
Cette pratique se rencontre particulièrement à l’occasion de la lecture du code javascript lors de la consultation de sites internet et se caractérise par une baisse des performances de la machine.
La fraude et les campagnes d’hameçonnage (phishing) observées en 2018 ont surtout visé « des cibles moins exposées mais plus vulnérables » que de grands groupes. La fin 2019 est agitée par des tentatives d’extorsion de fonds, que ce soit auprès d’hôpitaux, de médias ou de PME/PMI, dont on parle moins au quotidien
Il peut s’agir du vol de données personnelles, du versement d’une rançon après blocage d’un système ou chiffrement de fichiers, du minage de cryptomonnaies ou encore de la constitution de réseaux zombies (botnets).
Elles peuvent également présenter un risque et la sécurité informatique doit être une préoccupation centrale lors des migrations envisagées.
Selon Guillaume Poupard, le Directeur de l’ANSSI, la « bonne nouvelle » dans tout ça, c’est qu’il devient de plus en plus difficile pour les décideurs d’ignorer cette menace» et que « progressivement, on assiste au sein des organisations à un rapprochement entre sécurité numérique et préoccupations économiques, politiques et sociétales.
L’entrée en vigueur du RGPD le 25 mai 2018, n’y est pas étrangère.
En effet, l’Europe, avec ce texte, a exercé une influence forte au niveau mondial et au niveau de la prise de conscience nécessaire de l’intérêt de la protection des données.
Ces évolutions sont donc, au-delà des obligations réglementaires qu’elles impliquent, un vecteur de croissance, d’innovation et d’évolution de l’écosystème de la sécurité informatique et de la protection des droits et libertés individuels.
La mise en œuvre de cette réglementation nécessite impérativement une démarche transversale pour prospérer, ce qui s’avère souvent être une opportunité pour l’entreprise de repenser, rationaliser et sécuriser son organisation.
Pour rappel : les entreprises concernées sont essentiellement celles qui :
Chacun de ces critères devant être apprécié séparément. Toutes les structures ne sont pas forcément visées, mais les activités en B to C, qui stockent et conservent les données des clients – avec éventuellement leurs préférences – de manière systématique, pour pouvoir par exemple leur adresser des offres promotionnelles ou mieux les satisfaire, sont évidemment concernées.
Une attention particulière doit également être apportée aux sites internet dont beaucoup ne respectent pas la réglementation, particulièrement sur la gestion des « cookies ».
De manière générale, tout stockage de données personnelles, sensibles ou pas, à grande échelle, doit faire l’objet d’une analyse et il convient d’étudier sa conformité aux dispositions réglementaires.
Le règlement européen, nous a fait passer d’un régime déclaratif avec sanction a posteriori, à un régime d’anticipation et de responsabilisation. Ce changement de modèle se traduit d’un côté par un allègement des obligations déclaratives, mais aussi par un renforcement, voire la création, de certaines obligations pour la plupart des entreprises qui traitent les données personnelles de leurs clients. Ces obligations sont pour l’essentiel axées sur l’anticipation, l’information, la transparence et la sécurité et doivent être documentées.
Les entreprises devront pouvoir justifier en cas de plainte, de faille de sécurité, ou de contrôle de la CNIL, de manière générale, de l’application du principe général de « Privacy by design », c’est-à-dire de l’intégration du respect de la vie privée de la personne physique, dès la conception du projet de traitement de la donnée. Ce principe nécessite de s’interroger sur la licéité du traitement, de faire des études d’impact préalable, lorsqu’elles sont nécessaires, éventuellement de recueillir le consentement de la personne physique dont la donnée a été récoltée, de l’informer de ses droits…
Une obligation de transparence va désormais s’imposer aux entreprises qui gèrent, stockent, hébergent, traitent, vendent, etc… des données à caractère personnel. Les personnes physiques dont les données sont collectées devront dans la plupart des cas être informées de la finalité du traitement, de leur droit d’accès, de rectification, d’opposition, de leur droit à l’effacement et à la portabilité
Tout doit être mis en œuvre pour sécuriser les données détenues par l’entreprise, selon le principe de « Security by default ». Ces mesures doivent, au-delà de la protection nécessaire et optimale, permettre une traçabilité de la donnée, toute faille de sécurité doit être déclarée à la CNIL dans un délai très bref (72h selon le règlement).
L’établissement d’un registre des traitements comportant plusieurs volets peut être impératif selon les cas, mais pas pour toutes les entreprises.
Pour rappel, les sanctions en cas de manquement à ces obligations ont été renforcées (jusqu’à 4% du CA mondial et 20 M€), avec toutefois un accent mis sur la proportionnalité de la sanction.
Tous les domaines peuvent être impactés : l’organisation et la sécurisation des systèmes d’information, mais également la gestion RH, la gestion commerciale (prospection, marketing, gestion des fichiers clients,…), la gestion des fournisseurs, la gestion informatique… Et ceci, que les données soient conservées dans le serveur informatique de l’entreprise et/ou stockées et/ou hébergées et/ou retraitées par un sous-traitant.
A partir de cet audit, un diagnostic est établi et un plan d’actions doit être mis en place pour construire un « registre des traitements » qui va regrouper et décrire les pratiques de l’entreprise en matière de traitement de données à caractère personnel, assurer la traçabilité des données et leur sécurité.
A ce titre, la souscription d’une assurance « cyber-risques » est fortement recommandée, quelle que soit l’activité ou la taille de l’entreprise.
Toute entreprise, quelle qu’elle soit, doit pouvoir se mettre en conformité. Différents outils existent.
En résumé, entre « l’usine à gaz » et « rien », il y une grande marge de manœuvre et plusieurs actions à mettre en place. Il est donc fortement conseillé aux entreprises qui ne l’ont pas encore fait, de prendre dès que possible les mesures adaptées à leur situation, en se posant les bonnes questions pour intégrer les préconisations du Règlement Général Européen de Protection des Données (RGPD/GDPR) et les recommandations de l’ANSSI dans leur organisation.
Sarra Jougla
Avocate au Barreau de Paris – Associée In Extenso Avocats
En tant qu’Avocate au sein d’In Extenso Avocats, Sarra intervient dans les domaines du droit des assurances, de la propriété intellectuelle et des nouvelles technologies, en conseil ou en contentieux.
Nos avocats
à votre écoute !
Livre blanc « 100 questions
pour un entrepreneur »
