Failles de sécurité

Questions à Maître Yaël Cohen-Hadria, Avocat à la cour, spécialisée dans les domaines des technologies de l'information, Cabinet www.ych-avocats.fr    . Elle anime la formation Comundi « Failles de sécurité ».

On voit mal comment une entreprise peut aujourd'hui travailler sans faire appel à l'informatique. Or dans l'univers informatique les données peuvent être endommagées, détruites, perdues.

C'est pourquoi tout professionnel doit procéder a minima à des mesures de sauvegarde et de sécurité de ses données, d'autant que la loi prévoit des obligations propres à la sécurité des données.

1 - Quelles sont les nouvelles obligations en termes de failles de sécurité pour les entreprises ?

La France a transposé la directive 2009/136/CE du 25 novembre 2009 connue sous le nom de « Paquet Télécom ». Cette transposition se fait par ordonnance du 24 août 2011 ajoutant notamment un article 34bis à la loi Informatiques et libertés.

L'article 34bis de la loi Informatique et libertés institue une obligation de notification en cas de violation de la sécurité d'une base de données. Cette obligation répond à des modalités légales et pratiques très précises. De nouveaux processus doivent donc être mis en place dans l'entreprise.

2 - Quels sont les enjeux des obligations de sécurité et notamment de l'obligation de notification ?

Gestion saine de la gouvernance de l'entreprise
Il est bon de rappeler tout d'abord qu'il s'agit de mesures de gestion saine et d'anticipation des risques auxquelles tout dirigeant se doit de se conformer. En outre, le droit prévoyait déjà une obligation légale de sauvegarde, de conservation et de sécurité de ces données (articles 34 et 35 de la loi Informatique et libertés).

En effet, la plupart des données portant sur les salariés, les clients ou encore les fournisseurs sont une catégorie de données fortement protégées par le législateur. Elles bénéficient d'une obligation de sécurité renforcée.

En tant que chef d'entreprise collectant et traitant des données à caractère la loi Informatique et libertés vous impose de mettre en place des mesures de sécurité pour empêcher que ces données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès. A défaut, cela constitue une infraction pénale sanctionnée de cinq ans de prison et de 300 000 € d'amende (Article 226-17 du Code pénal). Pour les personnes morales la peine d'amende encourue est quintuplée, soit 1 500 000 euros.

Gestion contractuelle des prestataires
Ensuite un enjeu juridique fort en matière contractuelle.
Il faut sécuriser les contrats en renforçant les clauses « sécurité », « confidentialité » et le respect des obligations

« De-risking » et suivi qualité
Dans tous les cas, l'enjeu de ces nouvelles obligations est la gestion du risque ou « de-risking »...il faut anticiper les principaux risques :

-    Risque pénal : l'absence de notification est punie de 5 ans de prison et 300.000 euros d'amende, quintuplé pour les personnes morales (Article 226-17 Code pénal)
-    Risque en termes d'image : une mauvaise presse sur les failles de sécurité dans une société a pour conséquence directe une baisse du chiffre d'affaire
-    Risque CNIL : en cas de contrôle de la CNIL toute sanction, publication sur ce contrôle pourrait avoir des effets néfastes

Toute mauvaise anticipation des risques pourra avoir pour effet la perte de confiance des clients, des salariés mais aussi des actionnaires et investisseurs.