Par Florian Viel, Juriste.
 
 

La sécurité des traitements de données personnelles en situation de crise.

La situation actuelle de crise liée à l’épidémie de Covid-19 n’échappe pas à la règle et révèle une multiplication des vulnérabilités à la confidentialité, à l’intégrité et à la disponibilité des données à caractère personnel traitées par l’ensemble des acteurs du marché, qu’ils soient publics et privés.

Quelles sont les obligations et bonnes pratiques à la charge des sociétés pour assurer une sécurité optimale des traitements de données à caractère personnel indispensables à leur bon fonctionnement mais également quelles sont leurs responsabilités en cas de violation de données personnelles ?

« Les hommes n’acceptent le changement que dans la nécessite et ils ne voient la nécessité que dans la crise » Jean Monnet

La situation actuelle de crise liée à l’épidémie de Covid-19 n’échappe pas à la règle et révèle une multiplication des vulnérabilités à la confidentialité, à l’intégrité et à la disponibilité des données à caractère personnel traitées par l’ensemble des acteurs du marché, qu’ils soient publics et privés.

Les hackers, motivés par les gains financiers ou politiques, profitent de la stupéfaction collective qui entraîne une fragilité de la sécurité des systèmes d’information pour compromettre les entreprises, les populations et les gouvernements.

Les experts de la cybersécurité constatent depuis plusieurs semaines une multiplication des logiciels malveillants, des campagnes de spam permettant le déploiement de ransomwares, de stealers (voleurs de données) et de malwares bancaires. Il en est de mêmes des campagnes de fishing et de faux appels aux dons (voir notamment le Rapport Covid-19, cyber threat assessment publié par THALES le 23 mars 2020).

Les sociétés et leurs salariés ont été sur-sollicités par les mesures à prendre en urgence en lien avec la crise du Covid-19 et ont finalement eu tendance à ne pas suffisamment prendre en considération les bonnes pratiques de sécurité informatique appliquées aux traitements informatisés de données à caractère personnel et de leurs obligations légales notamment prévues aux articles 32 et suivants du Règlement UE 2016/679 (RGPD).

Dans ce contexte, il est important de rappeler quelles sont les obligations et bonnes pratiques à la charge des sociétés pour assurer une sécurité optimale des traitements de données à caractère personnel indispensables à leur bon fonctionnement mais également quelles sont leurs responsabilités en cas de violation de données personnelles.

I- Quelles obligations de sécurité pour les sociétés ?

La sécurité des traitements de données à caractère personnel est un principe clé du RGPD qui impose en son article 5 que «  Les données à caractère personnel doivent être […] traitées de façon à garantir une sécurité appropriée des données à caractère personnel  ».

Les sociétés sont astreintes à cette obligation, qu’elles agissent en qualité de responsables ou de sous-traitant.

A l’exception de certains secteurs (pharmaceutique…) et/ou types de traitement de données personnelles (données bancaires…) disposant d’exigences de sécurité spécifiques, les sociétés doivent déterminer par elles-mêmes les mesures techniques et organisationnelles à mettre en œuvre pour chaque traitement de données personnelles, en prenant en compte l’état de l’art et le coût de mise en œuvre.

Elles doivent déterminer les précautions à prendre «  au regard de la nature des données et des risques présentés par le traitement  » (article 34 de la loi Informatique et Libertés) et « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque  » (article 32 du RGPD).

L’ensemble des mesures de sécurité appliquées à chaque traitement de données personnelles doit être recensé dans le registre des traitements des données de la société imposé par l’article 30 du RGPD.

L’analyse des risques des traitements de données personnelles est indispensable avant de mettre en œuvre des mesures techniques et organisationnelles appropriées.

L’analyse des risques

Avant la mise en œuvre de mesures de sécurité et le traitement de données personnelles, les sociétés doivent systématiquement prendre en compte et analyser les risques engendrés par chaque traitement sur la vie privée des personnes concernées.

Afin d’apprécier les risques engendrés par le traitement, il convient a minima d’en identifier :
- Les impacts potentiels sur les droits et libertés des personnes concernées en cas i) d’accès illégitime aux données ii) de modification non désirée des données et iii) de disparition des données ;
- Les sources de risques ;
- Les menaces réalisables.

La société devra plus généralement tenir compte de tout facteur utile supplémentaire afin de déterminer les mesures de sécurité adaptées à mettre en œuvre.

Lorsque le traitement concerné est susceptible d’engendrer un risque particulièrement élevé pour les droits et libertés des personnes physiques (traitement à grande échelle, traitement de catégories particulières de données, traitement de données de mineurs…), l’article 35 du RGPD peut imposer aux sociétés de réaliser une « Analyse d’impact relative à la protection des données » (AIPD) répondant à un certain formalisme de forme et de contenu.

La mise en œuvre de mesures techniques appropriées

Les mesures techniques incluent la sécurité physique et informatique de l’entreprise.

Au titre des mesures physiques, seront pris en compte, si applicables :
- Les dispositifs de destruction des documents papiers mais aussi de recyclage des objets électroniques ;
- La qualité des portes et serrures (bureaux, armoires, accès aux serveurs physiques…) ;
- L’entretien des appareils électroniques, de la climatisation de la salle informatique, des dispositifs de détection des incendies…

Les mesures de sécurité informatique ne cessent quant à elles d’évoluer en réaction aux nouvelles menaces, vulnérabilités, pratiques et technologies.

Il est ainsi indispensable de recourir à des professionnels de l’informatique et de la cybersécurité et de se tenir informé des bonnes pratiques publiées par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) afin de s’assurer de la bonne mise en place de mesures techniques informatiques appropriées.

La mise en œuvre de mesures organisationnelles appropriées

Les sociétés doivent créer une culture de la sécurité des données personnelles auprès des employés traitant des données personnelles en les sensibilisant régulièrement et en les formant aux risques liés aux libertés et à la vie privée.

Leurs procédures et politiques internes doivent être documentées afin que l’entreprise soit en mesure d’agir efficacement en toutes circonstances (nouveau traitement, modification d’un traitement, violation de données, demande d’exercice de droit) et de démontrer leur conformité le cas échéant (contrôle de la CNIL).

Il est également important pour les employeurs de mettre en place une politique d’authentification de leurs salariés afin de reconnaître de manière certaine l’identité de chaque personne traitant des données personnelles et de limiter l’accès aux seules données nécessaire à l’exercice de leur fonction.

Ces accès devront être tenus régulièrement à jour, paramétrés et supprimés le cas échéant en fonction de l’évolution des missions des salariés.

L’entreprise doit par ailleurs mettre en place une charte informatique rappelant aux salariés les règles de protection des données et les sanctions encourues en cas de non-respect.

L’essentiel de ces mesures pourraient directement être intégrées aux contrats de travail des salariés avec un engagement de confidentialité spécifique concernant les données personnelles traitées dans le cadre de ses fonctions.

En cas de sous-traitance d’un traitement, celui-ci doit être contractuellement encadré afin de s’assurer notamment que le sous-traitant présente « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Plus généralement, la coordination entre les personnes clés de la société (direction, DPO et service informatique), les considérations de sécurité soulevées par la sous-traitance et la mise à jour/le contrôle périodique des politiques internes sont essentiels.

II- Quelle responsabilité pour les sociétés en cas de violation ?

Les attaques informatiques sont régulières, en 2019 ce sont 65% des sociétés françaises qui ont déclaré avoir subi une cyberattaque et 80% en 2018.

La notification à la CNIL d’une violation de données personnelles susceptible « d’engendrer un risque pour les droits et libertés des personnes physiques » doit être réalisée par la société victime dans les meilleurs délais à compter de la découverte de ladite violation, et en tout état de cause sous 72 heures.

Ces mesures sont de la responsabilité de l’entreprise, et s’inscrivent dans la logique générale d’accountability mise en place par le RGPD : les sociétés ont plus de marge de manœuvre dans le traitement de données personnelles mais engagent leur responsabilité si elles faillissent dans la bonne application du RGPD.

Une responsabilité renforcée

Les sociétés sont soumises à une obligation renforcée de moyen sur la sécurité des traitements de données personnelles puisqu’elles doivent en garantir un niveau de sécurité adapté au risque.

En cas de violation de données, il revient donc aux entreprises de prouver que les mesures de sécurité mises en œuvre étaient bien adaptées au risque pour éviter de voir leur responsabilité engagée et/ou subir de sanctions par la CNIL.

Depuis l’entrée en application du RGPD, la majorité des sanctions prononcées par les autorités de contrôle européennes se fondent sur l’inadéquation des mesures de sécurité des traitements de données personnelles au risque.

Dans un sens proche, la Cour d’appel de Paris a dernièrement considéré qu’un virus informatique ne constituait pas un cas de force majeure permettant d’exonérer la responsabilité d’un prestataire informatique en charge de la sécurité du système d’information dans la mesure où « un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible » (Cour d’appel de Paris, « SARL MISE A JOUR INFORMATIQUE c/ SARL E.X.M. EURO ET EXPERTISE MONETIQUE », 7 février 2020, n° 18/03616).

Responsabilité civile de l’entreprise

En cas de violation de données, qu’il s’agisse d’une attaque malveillante ou d’une erreur humaine accidentelle, toute personne ayant subi un dommage (financier, matériel ou moral) pourrait rechercher à engager la responsabilité de la société conformément à l’article 82 du RGPD.

S’il apparaît que la faute génératrice du dommage provient d’un des sous-traitant du traitement de données personnelles concerné, la société dont la responsabilité a été engagée pourra à son tour exercer un recours à l’encontre du sous-traitant fautif pour violation de ses obligations contractuelles de sécurité, dans la mesure où le contrat de sous-traitance était bien conforme à l’article 28 du RGPD précité.

Des contrats d’assurance prévoient parfois, et sous certaines conditions, la prise en charge du risque.

Un risque de sanction pécuniaire dissuasive

Au-delà de la responsabilité civile des sociétés, les autorités de contrôle telles que la CNIL veillent à la bonne application du RGPD puisqu’en plus de leur pouvoir d’enquête qui leur donne accès à tous les éléments de preuve nécessaires afin de déterminer si les sociétés ont bien mis en œuvre des mesures de sécurités adaptées au traitement de données personnelles, elles ont le pouvoir d’adopter des mesures correctrices et coercitives proportionnées et dissuasives : cessation d’activités commerciales, publicité, sanction financière jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial de la société…

Toute situation de crise est critique pour la sécurité des systèmes d’information et en conséquence pour la responsabilité des sociétés ; le risque de violation de données personnelles est accru et les pratiques nécessaires à la continuité de l’activité économique évoluent.

Il est nécessaire de s’assurer que l’analyse du risque a été effectuée correctement et a anticipé le télétravail à grande échelle des collaborateurs des entreprises. A défaut, il est indispensable que les entreprises mettent en place des mesures de sécurité renforcées et surtout adaptées aux nouveaux risques.

Il est donc recommandé de rédiger une charte de télétravail ou d’adapter la charte informatique de l’entreprise aux caractéristiques du télétravail et des outils utilisés dans ce contexte. Ce document devrait ainsi notamment interdire l’utilisation d’outils informatiques non contrôlés par l’entreprise et en particulier les services grand public de stockage, de partage de fichiers en ligne, d’édition collaborative ou encore de messageries et de téléconférence.

Par ailleurs, le matériel mis à la disposition du salarié pour le télétravail doit disposer également de mesures techniques de sécurité adaptées, tels qu’un VPN, un pare-feu et un antivirus.

Florian Viel, Juriste en droit des données personnelles – Cabinet Bouchara Avocats

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

33 votes
Commenter cet article

Vos commentaires

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs