Le cyber-risque c’est quoi ?

TPE, PME, ETI, grands groupes, toutes les entreprises font désormais l’objet de cyberattaques de plus en plus coûteuses et élaborées (équivalent suisse P-LPD – voir plus bas de cet article). L’année 2017 a été marquée par l’explosion et la violence de cette nouvelle forme de criminalité. Parmi les attaques les plus médiatisées, citons Netflix dont les utilisateurs ont reçu des mails les invitant à communiquer leurs coordonnées bancaires sous peine de voir leur compte fermé, Uber avec près de 57 000 millions de comptes piratés ou encore WannaCry qui a infecté en quelques heures 300 000 ordinateurs dont ceux de nombreuses entreprises comme les sociétés Renault ou FedEx. 80 % des entreprises européennes déclarent avoir été victimes d’au moins une cyberattaque depuis 2016. Escroquerie aux faux supports techniques et ransomware en tête, la cybercriminalité est en constante augmentation confirmant, s’il en était encore besoin, l’importance d’une protection adaptée pour votre entreprise. Lorsqu’il est question de cyber-risques, la plupart des gens pensent immédiatement à la cybercriminalité avec le ransomware (chantage au blocage d’un système informatique et vol de données assorti d’une demande de rançon) ou encore au phishing (utilisation d’une fausse identité pour obtenir des informations personnelles comme des coordonnées bancaires). En réalité la notion de cyber-risques couvre des actes, volontaires ou non, bien plus nombreux. Les principaux étant la perte de données en interne (perte d’un ordinateur, d’un téléphone, incident informatique, absence de sauvegarde des données…), l’espionnage, le sabotage et l’atteinte à votre image.

Quels que soient la taille et le secteur d’activité de votre entreprise, vous êtes exposé aux cyber-risques dès lors que vous détenez des données à caractère confidentiel ou personnel. Ordinateurs, serveurs isolés ou en réseaux, reliés ou non à internet, imprimantes, smartphones, tablettes, tous vos dispositifs informatiques peuvent faire l’objet d’une attaque aux conséquences juridiques et économiques parfois graves.

L’utilisation de plus en plus importante des supports numériques associée au cadre législatif, que vient renforcer dès le 25 mai prochain l’entrée en application du RGPD (Règlement Général sur la Protection des Données), engendre une augmentation significative des conséquences financières pour une entreprise en cas de violation de la confidentialité des données qu’elle détient. Aujourd’hui considérés comme l’une des principales menaces pour les sociétés, les cyber-risques ne sont pas à prendre à la légère. Perte d’exploitation, campagne publicitaire destinée à lutter contre une atteinte à votre image, responsabilité juridique dans le cas d’une violation de données confidentielles, les cyberattaques peuvent avoir de très fortes répercussions sur votre entreprise. Pour toutes ces raisons nous vous recommandons vivement de rencontrer un spécialiste voir (aussi) de contracter une assurance spécifique qui protégera votre activité de ces nouvelles menaces.

RGPD – Règlement Général sur la Protection des Données – ce qu’il faut retenir:

Ce règlement européen a pour objectif de protéger les citoyens contre toute utilisation malveillante de leurs données personnelles. Toutes les entreprises, petites ou grandes, et les administrations auront dorénavant l’obligation de respecter certaines règles concernant la collecte, le traitement et l’utilisation de ces données.

Les points clé de la directive:

– Les entreprises doivent informer précisément les citoyens de la nature des données personnelles qu’elles collectent, de leur traitement et des conséquences que celui-ci peut avoir pour eux. Elles doivent également être en mesure de prouver que ces informations ont bien été transmises à la personne à qui elles appartiennent et qu’elles ont obtenu son accord avant de les utiliser.

– Chacun est libre d’annuler son consentement au traitement de ses données personnelles à n’importe quel moment et de les récupérer auprès d’une entreprise ou d’une administration pour les transférer à une autre (portabilité des données).

– L’entreprise détentrice des données privées d’une personne doit, dans certains contextes, les effacer sur simple demande de celle-ci.

– Obligation pour les mineurs de moins de 16 ans d’obtenir l’accord de leurs parents pour toute inscription en ligne.

– Les entreprises sont responsables de la sécurité des données qu’elles collectent et doivent rendre compte des mesures, notamment en matière de cybersécurité, mises en place pour la garantir.

– Les sanctions en cas de manquement à l’une de ces mesures pourront atteindre 4 % du chiffre d’affaires de l’entreprise ou 20 millions d’euros, le montant le plus élevé étant retenu.

Remarque: la liste des salariés d’une société est considérée comme un fichier de données personnelles et ce, même si l’entreprise n’a pas d’activité sur internet.

Pour la suisse le PLPD : Personal Liability and Property Damage

La règlementation européenne (RGPD) sera applicable dès le 25 mai et son équivalent suisse (P-LPD) probablement en 2019. Par où faut-il commencer ? Nous vous proposons une stratégie simple et pragmatique, que vous soyez directeur d’une PME, médecin ou entrepreneur du bâtiment. établir un plan d’action concret en cinq phases, grâce aux analyses d’Antoine Amiguet et de Philipp Fischer, tous deux avocats au sein du cabinet OBERSON ABELS à Genève. Les deux avocats ont eu de nombreux échanges avec leurs clients sur ces deux réglementations concernant la protection des données personnelles: «Dans les médias comme dans les entreprises, il y a eu beaucoup de réactions extrêmes à ces nouvelles règles: cela va de la panique à l’indifférence totale. La meilleure solution est le pragmatisme. Il faut s’intéresser à la matière, faire un état des lieux et dresser un plan d’action, car toutes les entreprises suisses sont concernées, en tout cas par le P-LPD, éventuellement par le RGPD». Voici donc une proposition de marche à suivre, en cinq étapes.

Etape 1 : s’informer
Le premier conseil livré par Antoine Amiguet et Philipp Fischer est de s’intéresser et de s’informer sur ces nouvelles règles. Qu’il s’agisse de lire des articles ou de prendre conseil auprès d’associations professionnelles, de chambres de commerce ou de spécialistes du droit. «Dès qu’une entreprise suisse détient les données personnelles de clients qui se trouvent dans l’UE, elle est potentiellement soumise au RGPD», soulignent les deux spécialistes. «Il faut garder à l’esprit que l’arsenal juridique européen a été conçu avant tout pour encadrer les géants du web comme les GAFA. Il est très peu probable qu’une PME locale de Suisse romande se voie infliger une sanction de 20 millions d’euros dès le 25 mai». Si les acteurs suisso-suisses ne sont probablement pas concernés par le RGPD, en revanche, toute PME qui rayonne dans le bassin frontalier devra analyser la question et y consacrer un peu de temps. Cela est d’autant plus vrai pour les entreprises qui traitent des données sensibles, comme les données médicales de personnes qui résident dans l’UE.

Etape 2 : cartographier ses données
Il s’agit de répondre ici aux questions suivantes : où se trouvent les données personnelles que je traite, notamment celles concernant mes clients et mes employés ? Sur des serveurs internes, hébergés dans un data center, dans des cartons d’archives ? Combien de versions différentes des fichiers existent? «C’est un vrai enjeu pour les entreprises aujourd’hui et un vrai projet en soi », indiquent Antoine Amiguet et Philipp Fischer. «Même si les données sont parfois très bien protégées, elles peuvent être extraites, totalement ou partiellement, de leur environnement sécurisé, par exemple pour organiser un événement ou envoyer des cartes de vœux». Pour les avocats, quelle que soit l’évolution du P-LPD, cette cartographie est nécessaire pour l’avenir et répond à une attente du public, au-delà des démarches imposées par la règlementation. En particulier pour les données sensibles. Bien que leur définition varie légèrement selon le RGPD ou le P-LPD, il s’agit avant tout des données sur la santé, les opinions politiques et religieuses, les orientations sexuelles et l’origine ethnique. Aussi étonnant que cela puisse paraître, les données financières ne sont pas considérées comme des données sensibles au sens de la règlementation en matière de protection des données.

Étape 3 : évaluer sa situation
Sur la base de cette cartographie des données personnelles, il est ensuite possible d’évaluer dans quelle mesure une entreprise est éloignée des standards légaux. La règle de base étant que chaque traitement de données personnelles doit reposer sur un motif valable. Celui-ci peut consister en l’exécution d’un contrat, une obligation légale, un intérêt public prépondérant ou le consentement de la personne concernée. Un traitement effectué sans motif valable n’est pas admis: dans ces cas, les données personnelles devront être détruites ou, éventuellement, anonymisées. Là encore, il ne faut pas céder à la dramatisation, l’objectif du RGPD comme du P-LPD vise surtout à encadrer les entreprises dont l’activité commerciale repose principalement sur l’exploitation de données personnelles. Relevons aussi un changement notable dans le P-LPD : alors que le Préposé fédéral à la protection des données est actuellement davantage un observateur qui formule des recommandations à l’attention des entreprises, il sera à l’avenir investi de pouvoirs et de moyens d’investigation beaucoup plus étendus.

Etape 4 : établir un plan d’action
Evidemment, bien peu d’entreprises, y compris les plus grandes, seront parfaitement en règle le jour même de l’entrée en vigueur de ces deux réglementations. Mais là encore, cela ne signifie pas qu’il ne faut rien entreprendre. « Si l’objectif d’être parfaitement conforme à la nouvelle réglementation le jour J est probablement irréaliste pour la plupart des entreprises, celles-ci devront pouvoir démontrer qu’elles se sont attelées à la tâche et qu’elles suivent un plan d’action », souligne Philipp Fischer. « Les entreprises doivent toutefois fixer des priorités, en identifiant les points les plus à risque, et prendre des mesures concrètes pour les améliorer rapidement ».

A noter : si votre entreprise se révèle être soumise au RGPD, vous devrez très probablement nommer un représentant dans l’UE. « Il peut s’agir d’une entité du responsable de traitement dans l’UE ou, à défaut, d’un tiers qui accepte d’agir comme représentant. Les autorités européennes cherchent ici surtout à s’assurer d’avoir un point de contact dans leur juridiction en cas de problème », précise Antoine Amiguet.

Étape 5 : communiquer et informer
Pour les deux avocats, le devoir d’information envers les personnes concernées (notamment les clients et les employés) constitue l’un des points majeurs introduits par la nouvelle réglementation. Concrètement, il faut établir un document, généralement appelé privacy notice, qui doit être à la fois « concis et exhaustif », ce qui peut constituer un paradoxe. « La réglementation ne donne pas beaucoup d’indications sur la meilleure façon d’établir ce document. Il est envisageable de donner des informations par strates: on peut imaginer une version courte comprenant les points essentiels, qui renvoie à une version plus longue, véritablement exhaustive », indiquent Antoine Amiguet et Philipp Fischer. « Dans la privacy notice, les entreprises devront notamment indiquer si elles confient le traitement de données personnelles à des sous-traitants et indiquer si les données personnelles sont transmises en-dehors de Suisse ». Sur ce dernier point, les avocats voient également une opportunité de positionnement pour les entreprises « bonnes élèves » en la matière, au regard de la sensibilité croissante du sujet et de la confiance donnée aux entreprises respectant les principes en matière de protection des données. « En cas de violation des règles, la sanction ne sera pas seulement l’amende infligée par les autorités compétentes. Le communiqué de presse qui l’annoncera constituera aussi une sanction importante, avec des dégâts d’images potentiellement très sérieux à la clé ». (Marjorie Thery)

Laisser un commentaire