Les attaques numériques, telles que « Wannacry » et « Notpetya » mettent en exergue la nécessité pour les entreprises d’anticiper et de prendre les mesures adéquates face au risque cyber, d’autant plus que le Règlement général sur la protection des données (« RGPD »), qui entrera en vigueur le 25 mai 2018, conduit au renforcement des obligations et sanctions en matière de sécurité [1].
I. Le cadre légal actuel.
Qui est responsable en cas de violation de données personnelles ?
Au titre de son obligation de sécurité posée par l’article 34 de la Loi Informatique et libertés (« LIL »), le responsable de traitement est tenu de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Aujourd’hui, en cas de violation de données personnelles, le responsable de traitement est le seul responsable. On entend par violation de données personnelles toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel.
Le manquement du responsable de traitement à son obligation de sécurité peut résulter d’une défaillance de son prestataire informatique, sous-traitant. Cependant, sous l’empire de la LIL, la personne dont les données personnelles ont fait l’objet d’une faille sécurité peut se retourner uniquement contre le responsable de traitement. Ce dernier a, en effet, l’obligation de veiller au respect des mesures de sécurité et de confidentialité par son sous-traitant, contre lequel il peut ensuite agir mais uniquement sur le fondement de la responsabilité contractuelle [2].
Pour se conformer à son obligation de sécurité, le responsable de traitement doit notamment procéder à une évaluation générale des risques et menaces informatiques auxquels il est confronté. Il doit ensuite mettre en œuvre des mesures physiques, logiques et organisationnelles (sécurité des locaux, sécurité des systèmes d’information) nécessaires afin d’assurer la sécurité des données collectées.
Autre conséquence de l’obligation de sécurité, l’obligation de notification impose au responsable de traitement d’avertir, sans délai, la CNIL et l’intéressé en cas de violation de ses données personnelles ou à sa vie privée. Aujourd’hui, cette obligation concerne, toutefois, uniquement les fournisseurs de services de communications électroniques [3].
Quelles sanctions ?
Le manquement à l’obligation de sécurité est puni par des sanctions pénales et administratives qui ont été renforcées par la Loi pour une République numérique (« LRN »).
La délibération du 18 juillet 2017 prononcée à l’encontre de la société Hertz France est la première illustration des nouveaux pouvoirs de la CNIL qu’elle tient de la LRN permettant que soit prononcée une sanction pécuniaire d’un montant maximal de 3 millions d’euros à l’encontre du contrevenant sans mise en demeure préalable. En l’espèce, la CNIL a sanctionné la société Hertz France à une amende de 40.000 euros en raison d’une négligence dans la surveillance des actions de son sous-traitant. La CNIL relève notamment que la société Hertz France n’avait imposé aucun cahier des charges à son prestataire dans le cadre de sa mission de développement du site qui a fait l’objet de la faille de sécurité [4].
II. Le renforcement des règles en matière de sécurité sous l’empire du RGPD.
Le RGPD renforce les obligations en matière de sécurité des données et instaure une coresponsabilité du responsable de traitement et du sous-traitant en cas de violation de données personnelles [5].
Le sous-traitant pourra désormais être tenu responsable de ses manquements au titre de ses obligations spécifiques en matière de sécurité et de confidentialité. Dans certains cas, il sera également tenu de conseiller le responsable de traitement concernant la mise en conformité à certaines obligations du règlement.
Le contrat liant le sous-traitant à l’égard du responsable de traitement devra énoncer les obligations mises à la charge du sous-traitant. Il devra également déterminer la nature et la finalité du traitement, l’objet et la durée de conservation des données, les catégories des personnes concernées.
Le responsable de traitement et son sous-traitant devront instaurer des mesures techniques et organisationnelles appropriées afin de prévenir le risque. A ce titre, le RGPD indique à l’article 32 les possibles mesures comme la pseudonymisation ou le chiffrement des données.
Les deux acteurs ont également l’obligation d’adopter les « technologies les plus récentes » en matière de cybercriminalité.
En application des concepts de Privacy by design et Privacy by default, l’entreprise devra procéder à la mise en œuvre des mesures techniques nécessaires dès la conception du traitement de données à caractère personnel et garantir par défaut le plus haut niveau possible de protection des données.
Pour les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées (notamment, discrimination) ou des enjeux spécifiques (notamment segmentation comportementale, données sensibles, enfants, données génétiques ou biométriques, enjeux de sécurité informatique), le responsable de traitement et le sous-traitant dans certains cas devront procéder à une analyse d’impact sur la vie privée [6].
S’agissant de l’obligation de notification, celle-ci sera généralisée sous l’empire du RGPD et concernera désormais tout opérateur effectuant un traitement de données personnelles. Le responsable de traitement devra informer la CNIL de toute violation de données à caractère personnel, si possible dans les 72 heures au plus tard après en avoir pris connaissance, ainsi que la personne concernée dans certains cas de figure [7].
Parallèlement au renforcement des obligations pesant sur le responsable de traitement et le sous-traitant, le RGPD étend les pouvoirs de la CNIL en matière de sanctions. La commission pourra, par exemple, prononcer une sanction pécuniaire allant jusqu’à 10 millions d’euros ou représentant 2% du CA mondial de l’entreprise en cas de manquement à l’obligation de notification à l’autorité de contrôle ou à la personne concernée d’une violation de données.
***
Vigilance dans la rédaction du contrat.
A l’aune du RGPD, il est recommandé au responsable de traitement de :
• choisir un prestataire qui présente des garanties suffisantes en matière de sécurité ;
• conduire une analyse des risques afin d’identifier les mesures de sécurité essentielles ;
• définir précisément ses exigences techniques notamment au moyen d’un cahier des charges ou d’annexes au contrat ;
• de prévoir contractuellement la possibilité d’auditer le prestataire afin de s’assurer du respect par ce dernier de ses obligations au titre du contrat et de la règlementation applicable.
Mise en place d’une organisation interne.
La gestion du risque cyber et la sécurité informatique doivent être intégrées dans la stratégie des entreprises. Pour cela, il est recommandé de mettre en place des équipes dédiées à la supervision et à la gestion de ses questions. Il convient également de préparer un processus interne à respecter en cas de crise et notamment d’identifier les rôles des différents acteurs.
A ce titre, la CNIL a publié sur son site internet une fiche pratique pour aider les entreprises dans la mise en place d’un processus interne de gestion et de notification des incidents de sécurité [8] ainsi qu’un guide pour accompagner les sous-traitants dans la mise en œuvres de leurs nouvelles obligations [9].
Parmi les recommandations de la CNIL, la mise en place d’un dispositif de veille sur les menaces actuelles ainsi que des dispositifs de détection et de remontée d’alerte permettent de s’informer et de détecter les incidents afin de les qualifier. Les entreprises doivent ensuite déterminer la(les) autorités à informer en cas d’incident de sécurité.
La CNIL recommande fortement de tenir un registre interne consignant les violations de données personnelles, leurs effets et les mesures prises pour y remédier, dans le but, notamment, d’empêcher que l’incident se reproduise.
Laurent Badiane, associé département IP/IT,
Cabinet KGA Avocat.
Avec la collaboration de Alexandra Guermonprez, stagiaire.
Article initialement publié dans le Journal du Management Juridique n°60.
