5 min.

Cyber risques, protection des données personnelles, mise en conformité RGPD : Etat des lieux et obligations

Date de publication : 20.12.19

Sarra Jougla

Depuis l’entrée en vigueur le 25 mai 2018 du RGPD (« règlement européen sur la protection et la libre circulation des données à caractère personnel » n°2016/679) et, son intégration dans la loi française  dite « Informatique et Libertés » N°78-17, la CNIL comme l’ANSSI ont apporté des précisions sur les risques et pratiques à adopter en conséquence.

Les données personnelles, sorte de nouvel  « or noir » de notre société mondialisée, peuvent être convoitées par des concurrents malveillants, par des « hackers» dans un objectif de revente ou de rançonnage, voire des Etats, dans des buts plus ou moins avouables.  

La protection des données personnelles doit être plus sécurisée

À l’heure où les « cyber-attaques » se multiplient, nous avons pour impératif d’assurer la protection des données personnelles des entreprises, tout comme celles de nos salariés (qui sont également concernés par la nouvelle réglementation).

Nul doute également que l’ « e-réputation » des entreprises sera également valorisée, au regard de sa conformité ou non avec cette réglementation.

L’ANSSI dans son rapport 2018 a rappelé quelles étaient les cinq grandes menaces actuelles d’atteintes à la cyber-sécurité :

  • Le Cyber-espionnage, qui constitue le risque le plus élevé pour les organisations : L’objectif du cyber-espionnage est de s’introduire dans les infrastructures systèmes « les plus critiques » et d’en exfiltrer les données stratégiques. Les domaines de la défense, de la santé, et de la recherche sont des secteurs d’importance vitale qui peuvent être la cible de ce type d’attaque, tout comme les prestataires sous-traitants de ces organismes.
  • Les Attaques indirectes ou à rebond : Ce type d’attaque informatique ciblant les fournisseurs et les prestataires techniques de grands groupes sont en hausse. L’objectif est d’attaquer un intermédiaire puis d’utiliser les ressources de ce dernier pour accéder au réseau de plusieurs organisations.
  • La Déstabilisation : Ces cyber-attaques, pouvant aller de l’attaque par déni de service au sabotage, ont été particulièrement nombreuses en 2018. Elles peuvent, selon le rapport 2018 de l’ANSSI, avoir été revendiquées « depuis la France ou l’étranger par des individus isolés comme par des groupes d’attaquants ».
  • Le Cryptojacking ou minage de cryptomonnaie malveillant : Nouveau type de menace visant différents types d’appareils électroniques afin d’utiliser ces derniers pour « miner » de la cryptomonnaie (le bitcoin mais pas que) à votre insu. Cette pratique se rencontre particulièrement à l’occasion de la lecture du code javascript lors de la consultation de sites internet et se caractérise par une baisse des performances de la machine.
  • La Fraude en ligne : La fraude et les campagnes d’hameçonnage (phishing) observées en 2018 ont surtout visé « des cibles moins exposées mais plus vulnérables » que de grands groupes. La fin 2019 est agitée par des tentatives d’extorsion de fonds, que ce soit auprès d’hôpitaux, de médias ou de PME/PMI, dont on parle moins au quotidien. Il peut s’agir du vol de données personnelles, du versement d’une rançon après blocage d’un système ou chiffrement de fichiers, du minage de cryptomonnaies ou encore de la constitution de réseaux zombies (botnets).
  • Les migrations vers le Cloud peuvent également présenter un risque et la sécurité informatique doit être une préoccupation centrale lors des migrations envisagées.

« La « bonne nouvelle » dans tout ça, c’est qu’il devient de plus en plus difficile pour les décideurs d’ignorer cette menace» et que « progressivement, on assiste au sein des organisations à un rapprochement entre sécurité numérique et préoccupations économiques, politiques et sociétales. »

Guillaume Poupard, Directeur de l’ANSSI

Les nouvelles responsabilités des employeurs

L’entrée en vigueur du RGPD le 25 mai 2018, n’y est pas étrangère.

En effet, l’Europe, avec ce texte, a exercé une influence forte au niveau mondial et au niveau de la prise de conscience nécessaire de l’intérêt de la protection des données personnelles.

Ces évolutions sont donc, au-delà des obligations règlementaires qu’elles impliquent, un vecteur de croissance, d’innovation et d’évolution de l’écosystème de la sécurité informatique et de la protection des droits et libertés individuels.

La mise en œuvre de cette réglementation nécessite impérativement une démarche transversale pour prospérer, ce qui s’avère souvent être une opportunité pour l’entreprise de repenser, rationnaliser et sécuriser son organisation.

Êtes-vous conforme au règlement général sur la protection des données ?

Pour rappel : les entreprises concernées sont essentiellement celles qui :

  • Ont  250 salariés ou plus
  • traitent des données à caractère personnel en masse ou de manière systématique
  • traitent  des données sensibles (les données portant sur les mineurs sont particulièrement encadrées) et/ou qui  sont susceptibles de porter atteinte aux droits et libertés individuels.

Chacun de ces critères devant être apprécié séparément. Toutes les structures ne sont pas forcément visées, mais les activités en B to C, qui stockent et conservent les données des clients – avec éventuellement leurs préférences – de manière systématique, pour pouvoir par exemple  leur adresser des offres promotionnelles ou mieux les satisfaire, sont évidemment concernées.

Une attention particulière doit également être apportée aux sites internet dont beaucoup ne respectent pas la réglementation, particulièrement sur la gestion des « cookies ».

De manière générale, tout stockage de données personnelles, sensibles ou pas, à grande échelle, doit faire l’objet d’une analyse et il convient d’étudier sa conformité aux dispositions réglementaires.

Le règlement européen, nous a fait passer d’un  régime déclaratif avec sanction a posteriori, à un régime d’anticipation et de responsabilisation. Ce changement de modèle se traduit d’un côté par un allègement des obligations déclaratives, mais aussi par un renforcement, voire la création, de certaines obligations pour la plupart des entreprises qui traitent les données personnelles de leurs clients. Ces obligations sont pour l’essentiel axées sur l’anticipation, l’information, la transparence et la sécurité et doivent être documentées.

Anticipation 

Les entreprises devront pouvoir justifier en cas de plainte, de faille de sécurité, ou de contrôle de la CNIL, de manière générale, de l’application du principe général de « Privacy by design », c’est-à-dire de l’intégration du respect de la vie privée de la personne physique, dès la conception du projet de traitement de la donnée. Ce principe nécessite de s’interroger sur la licéité du traitement, de faire des études d’impact préalable, lorsqu’elles sont nécessaires, éventuellement de recueillir le consentement de la personne physique dont la donnée a été récoltée, de l’informer de ses droits protection de ses données personnelles …

Information

Une obligation de transparence va désormais s’imposer aux entreprises qui gèrent, stockent, hébergent, traitent, vendent, etc. des données à caractère personnel. Les  personnes physiques dont les données sont collectées devront dans la plupart des cas être informées  de la finalité du traitement, de leur droit d’accès, de rectification, d’opposition, de leur droit à l’effacement et à la portabilité.

Sécurisation

Tout doit être mis en œuvre pour sécuriser les données personnelles détenues par l’entreprise, selon le  principe de « Security by default ». Ces mesures doivent, au-delà de la protection nécessaire et optimale, permettre une traçabilité de la donnée,  toute faille de sécurité doit être déclarée à la CNIL dans un délai très bref (72h selon le règlement).

Documentation

L’établissement d’un registre des traitements comportant plusieurs volets peut être impératif selon les cas, mais pas pour toutes les entreprises. 

Pour rappel, les sanctions en cas de manquement à ces obligations ont été renforcées (jusqu’à 4% du CA mondial et 20 M€), avec toutefois un accent mis sur la proportionnalité de la sanction.

Les difficultés rencontrées par les entreprises

Tous les domaines  peuvent être impactés : l’organisation et la sécurisation des systèmes d’information, mais également la gestion RH, la gestion commerciale (prospection, marketing, gestion des fichiers clients,…), la gestion des fournisseurs, la gestion informatique… Et ceci, que les données personnelles soient conservées dans le serveur informatique de l’entreprise et/ou stockées et/ou hébergées et/ou retraitées par un sous-traitant.

Concrètement, un audit de sécurité est nécessaire pour établir un diagnostic de l’activité et des pratiques et une évaluation des risques.

A partir de cet audit RGPD, un diagnostic est établi et un plan d’actions doit être mis en place pour construire un « registre des traitements » qui va regrouper et décrire les pratiques de l’entreprise en matière de traitement de données à caractère personnel, assurer la traçabilité des données et leur sécurité.

A ce titre, la souscription d’une assurance « cyber-risques » est fortement recommandée, quelle que soit l’activité ou la taille de l’entreprise.

Toute entreprise, quelle qu’elle soit, doit pouvoir se mettre en conformité. Différents outils existent.

Cela nécessite l’intervention d’une structure de  conseil pluridisciplinaire technique et juridique, bien rodée et spécialisée, afin de permettre que ce type d’intervention soit traité correctement et au meilleur coût. 

En résumé, entre « l’usine à gaz » et « rien », il y une grande marge de manœuvre et plusieurs actions à mettre en place. Il est donc fortement conseillé aux entreprises qui ne l’ont pas encore fait, de prendre dès que possible les mesures adaptées à leur situation, en se posant les bonnes questions pour  intégrer les préconisations du Règlement Général Européen de Protection des Données personnelles (RGPD/DGPR) et les recommandations de l’ANSSI dans leur organisation.

Partagez cet article
A propos de L’auteur

Sarra Jougla

Avocate au Barreau de Paris – Associée In Extenso Avocats

En tant qu’Avocate au sein d’In Extenso Avocats, Sarra intervient dans les domaines du droit des assurances, de la propriété intellectuelle et des nouvelles technologies, en conseil ou en contentieux.

Voir d'autres articles

Vous avez aimé cet article, vous avez une question ? Laissez un commentaire

Notre politique de protection des données personnelles.

Contact rapide
close slider
bouton rappel

Contact rapide

* champs obligatoires


Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par la société In Extenso Opérationnel pour la gestion des envois de documentations/inscriptions à nos newsletters, ainsi qu’aux événements organisés par le Groupe In Extenso. Vous pouvez demander à tout moment votre désinscription à nos newsletters, revues ou événements. En savoir plus sur notre politique de protection des données personnelles.