[DOSSIER] Risk management 2/7

Les législateurs en phase exploratoire

La protection des données personnelles s'impose avec pesanteur dans le paysage de l'entreprise. Il s'agit là d'un trésor de guerre qui implique de lourdes responsabilités, dont les contours se redéfinissent en ce moment au niveau européen.

En quelques années, les données à caractère personnel numérisées sont devenues le nerf de la guerre pour de nombreux secteurs économiques. En effet, elles s'imposent comme un moyen infaillible de cibler les prospects, de connaître les clients, d'anticiper leurs comportements, donc leurs besoins, autrement dit de faire de l'argent et d'optimiser la gestion des entreprises (lire ci-dessous l'encadré sur l'outsourcing). Compte tenu de cette importance économique et de la nature des données traitées, le législateur français s'est emparé du sujet, de longue date, avec la loi informatique et liberté du 6 janvier 1978, avec la préoccupation constante de prémunir l'individu de l'exploitation des informations qui le concernent directement.

Une fonction clé, le responsable de traitement

Deux niveaux se retrouvent dans la loi : les données « à caractère personnel » (articles 6 et 7) pour lesquelles il faut recueillir le consentement de la personne et celles dites « sensibles » (article 8) qui ne peuvent être ni collectées ni traitées, par principe. Dans ce cas, la loi organise cependant des exceptions, par exemple pour les données de santé.

La conséquence de ce régime spécifique est que le risque économique de perte des données s'accompagne du risque juridique de ne pas être en conformité avec les exigences réglementaires. Comme l'exprime Stéphane Choisez, avocat du cabinet Ngo, Cohen, Amir-Aslani et Associés, « le vol de données personnelles fait courir le risque d'une double peine. Il s'agit premièrement d'une perte de valeur immédiate pour l'entreprise, qui s'accompagne ensuite de possibles sanctions prononcées par le régulateur si le responsable du traitement n'a pas été suffisamment vigilant sur la sécurité des données ».

Le responsable de traitement est la clé de voûte de ce système, « il est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Pour ce dernier, les mises en cause envisageables sont de trois ordres distincts et cumulatifs : administratives lorsqu'elles émanent de la Commission nationale de l'informatique et des libertés (Cnil), civiles vis-à-vis des victimes potentielles (article 34 de la loi de 1978) et pénales (code pénal, article 226-17, cinq ans d'emprisonnement, 300 000 € d'amende).

Il s'agit donc d'un risque juridique et technique lourd, dont la connaissance n'est pas encore arrivée à maturité. Sans changer cette approche sécuritaire, le projet de règlement européen sur la protection des données personnelles modernisera le cadre juridique, en donnant une dimension internationale à une question qui la mérite. Le numérique est sans frontière, et, d'ailleurs, « le projet de règlement préconise en effet de faire application de la réglementation européenne à tout responsable de traitements non établi dans l'Union européenne dès lors qu'il collecte des données sur des personnes résidant au sein du territoire communautaire » (1).

1. L. Grynbaum, C. Le Goffic, L. Morlet-Haïdara, « Droit des activités numériques », Dalloz, juin 2014.

Les règles propres à l'outsourcing

L'externalisation d'une activité de l'entreprise entraîne fréquemment un transfert de données personnelles de ses clients. Le responsable de traitement (le « sous-traité ») doit s'assurer que son sous-traitant veille à la sécurité et à la confidentialité des données. Toutes les règles propres à la collecte et la conservation devront être respectées (par exemple : héberger des données de santé sur un serveur agréé par le ministère de la Santé). Afin de renforcer les responsabilités lors des opérations d'externalisation, le futur règlement européen considère le sous-traitant comme un responsable de traitement s'il en exerce effectivement les attributions. Pour aller plus loin : « L'outsourcing et la protection des données à caractère personnel », par Marc d'Haultfoeuille, L'Argus de l'assurance, « Cahier pratique », n° 7313, 17 mai 2013.

«Une véritable prise de conscience reste à venir»

PASCAL ANTONINI, associé chez EY Advisory au département IT
« Les cyber-risques doivent encore faire l’objet d’une véritable prise de conscience dans les entreprises. C’est un sujet qui relève de la direction générale en premier lieu. C’est à elle de donner l’impulsion pour que tous les collaborateurs qui sont amenés à travailler les données soient au fait des principales failles de sécurité. Il lui incombe aussi de prévoir un plan d’action en cas de perte accidentelle ou criminelle. Beaucoup reste à faire... »

Données personnelles : les futures obligations européennes renforcées

Adoptée par le Parlement européen le 12 mars 2014 en première lecture, la future législation européenne sur les données personnelles a pour effet de renforcer significativement les droits des citoyens européens. En voici les mesures phares :

  • l'obligation, dans les entreprises d'une certaine taille, de désigner un délégué à la protection des données personnelles. Le concept est assez proche de l'actuel « correspondant informatique et liberté » français ;
  • la consécration du « droit à l'effacement », c'est-à-dire de faire disparaître sa trace sur Internet ;
  • le principe d'accountability, au sujet duquel Pascal Antonini, associé chez EY Advisory au département informatique et télécommunications, explique que « le projet de règlement européen sur les données à caractère personnel va dans le bon sens avec le principe d'accountability, qui fait reposer sur l'entreprise la responsabilité de démontrer au régulateur la conformité de son système de sécurité de l'information aux exigences réglementaires. [...] Le grand enjeu est la confiance dans le numérique » ;
  • l'obligation faite aux entreprises de mettre en oeuvre une protection dès la conception des projets de traitement des données, avant même l'exécution proprement dite ;
  • la notification : obligation pour toutes les entreprises de signaler au régulateur et aux personnes victimes la violation des données personnelles (actuellement, seuls les opérateurs Internet y sont astreints) ;
  • sanction en cas de non-conformité à la réglementation : le plus élevé des montants entre 100 M€ et 5% du chiffre d'affaires annuel mondial de l'entité.

J. S.

Abonnés

Base des organismes d'assurance

Retrouvez les informations complètes, les risques couverts et les dirigeants de plus de 850 organismes d'assurance

Je consulte la base

Le Magazine

ÉDITION DU 28 janvier 2022

ÉDITION DU 28 janvier 2022 Je consulte

Emploi

LA CENTRALE DE FINANCEMENT

RESPONSABLE ADJOINT MARCHE ASSURANCES H/F

Postuler

La Mutuelle Générale

MANAGER COMMERCIAL IDF -(H/F)- CDI

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Assurances

Fourmies Habitat

28 janvier

59 - FOURMIES HABITAT

Mission d'assistance, de services et conseils en assurances

Fourmies Habitat

28 janvier

59 - FOURMIES HABITAT

Proposé par   Marchés Online

Commentaires

Les législateurs en phase exploratoire

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié