29 octobre 2019

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#272 cyber protection des données: les bons réflexes juridiques

#272 cyber protection des données: les bons réflexes juridiques

#272 cyber protection des données: les bons réflexes juridiques

Pourquoi encore une présentation sur la « cyber protection des données » ? Les cyber-attaques ? La sécurité des systèmes d’information ? D’ailleurs, pourquoi « cyber protection » ou « cyber sécurité » plutôt que « sécurité des systèmes d’information » ?

Laissons là les question existentielles et regardons la réalité en face : un « cyber-espace » complexe, des lois qui s’empilent…

Que faire de tout cela lorsqu’on est une entreprise ?

Commençons par un rapide état es lieux, une définition, une chronologie (forcément) rapide et une typologie sommaire des cyber-attaques.


cyber protection des données – les bons réflexes juridiques : la prévention !!!

Le bon réflexe doit être préventif : faites de la sécurité !!! protégez votre système d’information. Ce n’est pas de l’argent perdu, mais une nécessité technique et juridique !!!
D’ailleurs, les guidelines juridiques commencent à être connues. En droit, le fondement de référence est l’article 32 RGPD  pour tout « responsable de traitement » à titre professionnel de « données à caractère personnel« .


cyber protection des données –

les bons réflexes juridiques : arbitrer les priorités

Si les juristes d’entreprise pensent que la direction des systèmes d’information sait techniquement comment gérer une cyber attaque, qu’en est-il réellement des obligations légales en la matière? Comment réagir ? Quelles priorités pour l’attaqué(e) ?


cyber protection des données –

les bons réflexes juridiques : REMEDIER au problème !!!

« Remédier » ? Je viens de vérifier dans le Larousse en  ligne :

  • « Atténuer un mal physique ou le guérir : Remédier à une mauvaise digestion par un régime.
  • Combattre quelque chose de mauvais, supprimer un inconvénient : Remédier au déséquilibre budgétaire »

C’est bien ça ! Si votre système d’information est attaqué, vous devez d’abord faire cesser les effets de l’attaque, quitte à prendre des mesures radicales !


cyber protection des données –

les bons réflexes juridiques : documentez vos actions !

En cas de contrôle par la CNIL, ou plus probablement lors de la déclaration de votre « violation de données » en ligne, il va vous falloir fournir quelques détails concrets… en clair : prouver les actions menées pour remédier et rétablir la disponibilité des data / du service en ligne.


cyber protection des données –

les bons réflexes juridiques : le tarif des sanctions potentielles ?

Aujourd’hui, les professionnels le savent : une violation de données pour défaut de sécurisation, c’est 2% du CA en termes de risque de sanction « administratives ».
Profitons-en pour faire un petit récapitulatif des sanctions publiées par la CNIL depuis janvier 2018. Vous allez voir, c’est édifiant…


cyber protection des données –

les bons réflexes juridiques : QUI est [pénalement] responsable ? 

C’est la grande question en provenance des équipes de la DSI et des RSSI.
D’abord, plus important encore pour l’entreprise, posons  la question qui préoccupe (encore plus) les juristes  : une cyber attaque est-elle un cas de force majeure ? Hélas, il faudra nuancer notre réponse…
Pour ce qui est du risque (quasi) pénal de sanction pécuniaire au titre du RGPD, les choses sont claires. Si l’entreprise est responsable du traitement, elle supportera donc les sanctions en cas de manquement à ses obligations.


Mais attention… d’autres lois entrent en vigueur qui prévoient la « responsabilité du dirigeant« … Et en droit, qui est le « dirigeant » ? ça dépend…
Si le « chef de la sécurité du SI de l’entreprise » dispose d’une délégation de pouvoir, cette responsabilité pénale peut tout à fait être supportée par le RSSI ou le DSI !
C’est en tout cas le résultat voulu par exemple par la loi « N.I.S. » du 26 février 2018 qui encadre les « Opérateurs de Service Essentiel » et les « Fournisseurs de Service Numérique« .
Pour ce qui est des délais prévus dans le Code pénal (ré-écrit le 12 décembre 2018 dans la matière qui nous intéresse aujourd’hui), le principe devrait être la responsabilité de la personne morale.
Vu la lourdeur des sanctions pénales théoriques, il serait peut-être utile de se poser la question avant, non ?


cyber protection des données –

les bons réflexes juridiques : la présentation intégrale en BD  dans le slider ci-dessous

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​