RGPD : Cyber-risques, prévenir et agir !

La cyber-sécurité est une source de préoccupation pour de nombreuses entreprises. En France, presque 80% des entreprises ont déclaré au moins une attaque en 2017…

…mais le nombre est probablement plus élevé sachant que beaucoup d’attaques ne sont pas déclarées - d’après le Moniteur de sécurité en Belgique, plus de 80% des victimes d’escroqueries sur internet n’auraient pas porté plainte en 2018. Cela démontre bien qu’en Belgique ainsi qu’en France, mais également dans le reste de l’Europe, les taux de déclaration à la police concernant la criminalité information sont faibles pour le nombres de délits commis.

Notre fondatrice, Charlotte Gerrish, a récemment collaboré à une Webinar avec LastPass, le gestionnaire de mots de passe proposé par la société LogMeIn, leader en sécurité informatique et les solutions d’accès à distance, pour discuter de ces problèmes et de la façon dont les entreprises peuvent trouver des solutions simples.

Sur la base de cette webinar, dans cet article nous faisons donc le point sur les obligations de sécurité et confidentialité et comment les entreprises peuvent faire face à des cyber-risques.

Obligations de sécurité - RGPD

Contre cette nouvelle menace, le Règlement Général sur la Protection des Données (RGPD) a été introduit en mai 2018. Le RGPD a pour but d’assurer la protection des personnes physiques lorsque des données à caractère personnel sont traitées. La sécurité des données personnelles est un principe essentiel du RGPD; en effet, l’obligation de sécurité des données est diffusée dans l’intégralité du texte.

Assurances adaptées ?

Des actions sont nécessaires pour la prévention de violation de données à caractère personnel. Il est conseillé pour les entreprises de contacter une assurance cyber-risque. En revanche, il n’existe pas de compagnie d’assurance qui couvre plus que 3 millions d’euros. Sachant que les sanctions pour les violations du RGPD peuvent atteindre 20 millions d’euros, cela peut paraitre insuffisant. Pour cette raison, les entreprises sont invitées à élever régulièrement leurs niveaux de sécurité technique ainsi que former le personnel de manière à éviter une fuite de données. Par ailleurs, il faut garder en esprit que prévenir c’est bien, mais agir c’est mieux.

Les PME - à l’abri de ces sanctions ?

Par ailleurs, depuis 2018, de nombreuses obligations sont imposées sur les entreprises de façon à garantir la conformité au RGPD.

Même une petite entreprise peut avoir une large base de données, plus ou moins sensible, imposant plus d’obligations sur celle-ci.

Pour cette raison, les obligations imposées ne sont pas directement liées aux nombres d’employés dans une entreprise.

DPO ?

Sous réserve de respecter certaines conditions, les entreprises doivent désigner un Délégué à la Protection des données personnelles (DPO), et sauf exception, il est conseillé de désigner un spécialiste pour mener à bien la conformité au RGPD. Il est également important de tenir une documentation précise de la conformité, de façon à simplifier le travail de la CNIL ou toutes autres autorité de protection des données en cas de faille de sécurité.

Bonnes habitudes à prendre…

Le RGPD impose des obligations renforcées en matière de sécurité et de confidentialité des données personnelles, mais il s’agit là d’une bonne pratique pour toutes les informations d’entreprise qui peuvent inclure des données personnelles, mais également des informations commerciales sensibles ou des secrets commerciaux ou les secrets d’affaires.

La sécurité des données personnelles, comme mentionné ci-dessus, est d’une importance cruciale.

La CNIL a confirmé que l’obligation présente dans les RGPD (“Le traitement doit garantir une sécurité appropriée des données à caractère personnelles”) n’est pas une obligation de résultat mais une obligation de moyen. Cela implique que les entreprises doivent avoir mis en oeuvre tous les moyens possibles pour sécuriser le traitement des données.

Si le RGPD laisse au contrôleur le soin de déterminer le niveau de risque, ce que le responsable de traitement considère comme un risque peut être diffèrent du niveau de risque qu’une personne concernée accepterait.

Comment faire en cas de violation de données ?

En cas de violation ou fuite de données, y compris en cas d’une éventuelle cyber-attaque, d’après l’Article 33 du RGPD, les responsables de traitement ont une obligation de notifier les failles de sécurité auprès de la CNIL, ou bien auprès de la personne concernée par la violation de ces données, en cas de risque élevé pour ses droits et libertés. Dans ce cas, cette notification doit être effectuée sous 72h après la découverte de la faille. L’entreprise devra décrire la nature de la violation, fournir les coordonnées du DPO ainsi que les possibles conséquences.

Privacy By Design

De façon préventive, il est nécessaire d’intégrer la discussion juridique dès la création d’une entreprise ou projet pour éviter une faille de sécurité. Le concept de “Privacy by Design” permet de garantir la protection des données privées et de la vie privée.

Contrairement au “Privacy by Default”, ce concept permet une réduction des risques liés au traitement des données à caractère personnelle ainsi qu’une réduction du coût de development par l’incorporation d’une approche Privacy by Design dès le lancement du projet, et également d’augmenter la confiance des consommateurs dans les services proposés.

Conclusion

Pour plus d’informations sur les risques en matière de cyber-sécurité ainsi que les obligations en matière de confidentialité et de sécurité, et les éventuelles solutions pour réduire le risque pour votre société, n’hésitez pas à voir (ou à revoir) la Webinar LastPass x LogMeIn x Gerrish Legal en vous connectant ici.

Comme d’habitude, nous restons à votre disposition si vous avez des questions et/ou besoin de conseils spécifiques concernant la confidentialité et les obligations de sécurité !

Article rédigé par l’équipe Gerrish Legal, octobre 2019

Previous
Previous

RGPD: Mode d'emploi pour le droit à l'oubli et le déréférencement

Next
Next

RGPD : Le traitement des données accessibles au public