Si les conséquences financières ou réputationnelles d’une cyberattaque sont connues, le volet juridique est moins identifié. Pourtant, en cas de fuite de données, la responsabilité personnelle du dirigeant peut être engagée. Voici quelques clés pour mieux comprendre.
40 milliards. C’est le nombre de données piratées en 2021, soit quasiment 6 fois le nombre d’humains vivant sur la planète. De quoi ne pas prendre à la légère la protection des données stockées par les entreprises et qui font le bonheur des pirates informatiques.
En effet, le vol de données confidentielles et sensibles, qu’elles soient personnelles, médicales ou liées au développement d’une entreprise est lucratif pour les hackers : une attaque relativement simple, un résultat quasi toujours au rendez-vous et, à la clé, un chantage ou une revente qui vaut de l’or, notamment sur le dark web.
La troisième édition du baromètre Data Breach, alimenté entre autres par la Commission nationale de l’informatique et des libertés (CNIL) et publié en juin 2022 confirme ces chiffres édifiants : en France en 2021, plus de 5 millions de personnes ont été victimes d’une fuite de données… Par ailleurs, près de 3 000 des 5 000 signalements reçus relevaient d’actes externes à caractère malveillant.
Cette prévalence interroge, d’autant que le Règlement général de la protection des données (RGPD), outre établir un cadre strict sur l’obligation de confidentialité des données personnelles, identifie également clairement la responsabilité juridique du dirigeant en cas de problème.
Le RGPD poursuit 3 objectifs :
Le second objectif du RGPD inscrit donc noir sur blanc la responsabilité du dirigeant en matière de protection des données ; l’excuse du « pas vu pas pris », souvent usitée sur les questions cyber est dès lors, rendue caduque.
De fait, le cabinet d’avocats Haas (source 1), spécialisé dans le droit numérique, liste plus d’une quinzaine d’infractions possibles, liées à (l’absence de) protection des données dans lesquelles la responsabilité du dirigeant peut être mise en cause :
Le prix à payer dans ces différents cas répertoriés par le Code pénal en son article 226 et ses différents alinéas, en application du RGPD, est lourd : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende en matière pénale. Sans oublier, au-delà, les sanctions pécuniaires infligées à l’entreprise, qui, elles, peuvent atteindre des montants encore plus importants.
Aussi, en avril 2022 Dedalus biologie, entreprise commercialisant des solutions logicielles pour des laboratoires d’analyse médicale a été condamnée par la CNIL à payer une amende d’1,5 millions d’euros en raison d’une fuite de données médicales – nom, prénom, informations médicales compromettantes (VIH, grossesse…) – de 500 000 personnes (source 5).
Autre exemple : sans aller jusqu’à la sanction financière, les groupes Humanis et Malakoff Médéric avaient été mis en demeure par la CNIL en 2018 pour détournement de finalité des données des assurés (source 4).
En juillet 2022, la CNIL annonçait la mise en demeure de 15 sites internet français suite à des contrôles de sécurité. Les défauts de sécurité détectés sont tous susceptibles de mener à une violation de données, rapporte l’Usine Digitale (source 3). On observe qu’en quatre ans, le gendarme des données a durci le ton.
Or, si certaines infractions sont facilement compréhensibles par des néophytes, d’autres telles que « le Défaut de respect des formalités préalables, même par négligence », ou le « non-respect des normes simplifiées, même par négligence » sont moins évidentes à appréhender, à moins d’être un spécialiste du sujet.
D’autant que la notion de « négligence » n’implique pas seulement la responsabilité propre du dirigeant mais le rend également comptable du comportement d’un salarié étourdi ou non formé sur le sujet, doublant les risques de mise en cause ! Surtout eu égard à la multiplicité des acteurs légitimement fondés à agir contre le dirigeant... Comme le rappelle le cabinet Backer McKenzie (source 2), peuvent porter plainte :
Pour éviter d’arriver à de telles extrémités, il importe donc de bien se protéger ; non seulement pour être en conformité avec la loi mais également pour protéger son business d’un défaut réputationnel consécutif à une sanction de ce genre : « en définitive, sécurisation juridique et opportunité business peuvent facilement se rejoindre » (cabinet Haas - source 1).
La fuite des données, ou plutôt son empêchement, doit se penser à deux niveaux, celui du dirigeant et celui dans l’entreprise.
Au niveau du dirigeant, le risque cyber doit être intégré dès l’origine et au plus haut niveau pour diffuser la culture cyber dans l’ensemble de l’entreprise : en parler régulièrement au comité exécutif, proposer des formations / sensibilisation aux salariés sur le sujet… Ces démarches permettent de limiter des accusations ultérieures de négligence.
Néanmoins, prévenir n’est pas guérir ; il est donc également nécessaire, pour assurer une protection personnelle, de mettre en place des délégations de pouvoir et de responsabilité pénale et de souscrire une assurance cyber au cas où les précautions susmentionnées n’empêcheraient pas l’arrivée accidentelle et inopinée d’un tel événement. En effet, l'assurance cyber propose la garantie "Responsabilité Civile en cas de fuite de données" consécutive à une cyberattaque. Celle-ci n'est pas prise en charge par la Responsabilité Civile Professionnelle.
Parce qu’à deux c’est toujours mieux, le dirigeant doit également protéger son entreprise avec des instruments simples mais efficaces :
Les solutions sont nombreuses, à condition de prendre le problème à bras le corps.
Sources :