Protection des données : la responsabilité des entreprises face au risque cyber
Depuis 2018, la loi européenne rend les entreprises responsables de la protection des données personnelles dont elles disposent. Des amendes, parfois lourdes, sont prévues en cas de non-protection de ces données.
RGPD et responsabilité des entreprises
Entré en vigueur en mai 2018, le Règlement Général sur le Protection des Données (RGPD) a pour objectif, à l’échelle européenne, de renforcer le droit des personnes et de responsabiliser les acteurs traitant des données, qu’ils soient directement responsables ou sous-traitants.
En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL), créée en 1978 par la loi Informatique et Libertés, qui se charge de la protection des données personnelles des fichiers et traitements informatiques ou papier, publics ou privés.
Cette nouvelle réglementation responsabilise les entreprises concernant les données personnelles qu’elles détiennent et prévoit des amendes « proportionnées et dissuasives ». Elles peuvent atteindre 4 % de leur chiffre d’affaires en cas de vol ou de compromission (chapitre VIII, article 83 du Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016). Par ailleurs, les entreprises supportent désormais une obligation de notification si une violation des données personnelles survient.
Conséquences financières
Les entreprises sont contraintes de prendre des mesures en matière de protection des données sensibles qu’elles détiennent sur leurs clients, leurs salariés ou encore leurs partenaires commerciaux. Mais au-delà de l’aspect organisationnel qui en découle, l’impact de cette loi pour les entreprises est financier.
Pour mieux en comprendre l’enjeu, prenons l’exemple de l’enseigne Darty. En 2017, la CNIL a relevé une réelle défaillance de sécurité permettant d’accéder librement à l’ensemble des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Au total, 912 938 fiches étaient potentiellement accessibles, avec des noms, prénoms, adresses postales, adresses mail et commandes.
L’enseigne aurait dû remédier à la situation, même en cas de recours à un sous-traitant, puisqu’en sa qualité de « responsable de traitement », Darty avait l’obligation de s’assurer et de vérifier que l’outil développé par son sous-traitant répondait à l’obligation de confidentialité énoncée à l’article 34 de la loi Informatique et Libertés.
A la suite de ces constatations, Darty a écopé début 2018 d’une sanction administrative à hauteur de 100 000 euros pour ne pas avoir suffisamment sécurisé les données de ses clients.
Aujourd’hui, avec l’entrée en vigueur du RGPD, la sanction représenterait 4 millions d’euros minimum, et pourrait atteindre jusqu’à 19 millions d’euros. L’ordre de grandeur est tout à fait différent.
La protection des données à l’aune du risque cyber
Avec cette nouvelle responsabilité, les entreprises ont donc plus qu’intérêt à mettre en place les mesures nécessaires à la protection des données en leur possession, et ainsi se mettre en conformité avec la loi afin d’éviter de lourdes sanctions financières.
Dans un contexte de plus en plus numérique, la gestion sécurisée de ces données est essentielle pour prévenir tout risque de cyberattaque. Ainsi, les entreprises doivent régulièrement évaluer et renforcer leurs systèmes de sécurité pour faire face aux évolutions constantes des menaces cybernétiques.
La protection des données doit être considérée comme une priorité stratégique. Elle garantit non seulement la conformité réglementaire, mais aussi la préservation de la réputation et de la confiance des parties, ainsi que la pérennité financière de l’entreprise.