StoïkBlogCyberassurance

Fuite de données personnelles : responsable… et coupable !

Sarah Pineau
Dernière mise à jour :

Si les conséquences financières ou réputationnelles d’une cyberattaque sont connues, le volet juridique est moins identifié. Pourtant, en cas de fuite de données, la responsabilité personnelle du dirigeant peut être engagée. Voici quelques clés pour mieux comprendre.

fuite de données responsabilité dirigeant

La fuite de données : une fraude en pleine effervescence face à un cadre légal encore méconnu

40 milliards de données piratées en 2021

40 milliards. C’est le nombre de données piratées en 2021, soit quasiment 6 fois le nombre d’humains vivant sur la planète. De quoi ne pas prendre à la légère la protection des données stockées par les entreprises et qui font le bonheur des pirates informatiques.

En effet, le vol de données confidentielles et sensibles, qu’elles soient personnelles, médicales ou liées au développement d’une entreprise est lucratif pour les hackers : une attaque relativement simple, un résultat quasi toujours au rendez-vous et, à la clé, un chantage ou une revente qui vaut de l’or, notamment sur le dark web.

La troisième édition du baromètre Data Breach, alimenté entre autres par la Commission nationale de l’informatique et des libertés (CNIL) et publié en juin 2022 confirme ces chiffres édifiants : en France en 2021, plus de 5 millions de personnes ont été victimes d’une fuite de données… Par ailleurs, près de 3 000 des 5 000 signalements reçus relevaient d’actes externes à caractère malveillant.

Une forte augmentation malgré un cadre légal strict

Cette prévalence interroge, d’autant que le Règlement général de la protection des données (RGPD), outre établir un cadre strict sur l’obligation de confidentialité des données personnelles, identifie également clairement la responsabilité juridique du dirigeant en cas de problème.

Fuite de données d’entreprise : la responsabilité du dirigeant engagée

RGPD : un dirigeant "omniresponsable"

Le RGPD poursuit 3 objectifs :

  1. Renforcer les droits des personnes ;
  2. Responsabiliser les acteurs ayant à traiter des données personnelles ;
  3. Crédibiliser la régulation.

Le second objectif du RGPD inscrit donc noir sur blanc la responsabilité du dirigeant en matière de protection des données ; l’excuse du « pas vu pas pris », souvent usitée sur les questions cyber est dès lors, rendue caduque.

De fait, le cabinet d’avocats Haas (source 1), spécialisé dans le droit numérique, liste plus d’une quinzaine d’infractions possibles, liées à (l’absence de) protection des données dans lesquelles la responsabilité du dirigeant peut être mise en cause : 

  • atteinte à l’intimité de la vie privée, 
  • défaut de mise en place de mesures de sécurité proportionnées au risque traitement non autorisé des données sensibles, 
  • transfert de données non prévues par la loi hors Union européenne, 
  • conservation de données au-delà de la durée autorisée, etc.

Des sanctions pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende pour le dirigeant…

Le prix à payer dans ces différents cas répertoriés par le Code pénal en son article 226 et ses différents alinéas, en application du RGPD, est lourd : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende en matière pénale. Sans oublier, au-delà, les sanctions pécuniaires infligées à l’entreprise, qui, elles, peuvent atteindre des montants encore plus importants.

… Et des sanctions financières qui dépassent le million d’euros pour les entreprises !

Aussi, en avril 2022 Dedalus biologie, entreprise commercialisant des solutions logicielles pour des laboratoires d’analyse médicale a été condamnée par la CNIL à payer une amende d’1,5 millions d’euros en raison d’une fuite de données médicales – nom, prénom, informations médicales compromettantes (VIH, grossesse…) – de 500 000 personnes (source 5).

Bon à savoir
Dans les deux cas (responsabilité du dirigeant ou de l’entreprise), l'infraction punie concerne la fuite de données personnelles et repose sur le même texte du RGPD, la CNIL étant l'autorité administrative chargée de veiller à la bonne application de ce texte.

Autre exemple : sans aller jusqu’à la sanction financière, les groupes Humanis et Malakoff Médéric avaient été mis en demeure par la CNIL en 2018 pour détournement de finalité des données des assurés (source 4). 

En juillet 2022, la CNIL annonçait la mise en demeure de 15 sites internet français suite à des contrôles de sécurité. Les défauts de sécurité détectés sont tous susceptibles de mener à une violation de données, rapporte l’Usine Digitale (source 3). On observe qu’en quatre ans, le gendarme des données a durci le ton.

Et les PME ?
Outre le fait que les PME sont l'objet de moins d'attention médiatique, elles sont aussi plus réticentes à communiquer sur leurs condamnations. Les exemples concernant les PME se font donc plus rares, mais cela ne veut pas dire qu’elles sont moins concernées.

Des textes de loi encore difficiles à appréhender pour les dirigeants d’entreprise

Or, si certaines infractions sont facilement compréhensibles par des néophytes, d’autres telles que « le Défaut de respect des formalités préalables, même par négligence », ou le « non-respect des normes simplifiées, même par négligence » sont moins évidentes à appréhender, à moins d’être un spécialiste du sujet.

D’autant que la notion de « négligence » n’implique pas seulement la responsabilité propre du dirigeant mais le rend également comptable du comportement d’un salarié étourdi ou non formé sur le sujet, doublant les risques de mise en cause ! Surtout eu égard à la multiplicité des acteurs légitimement fondés à agir contre le dirigeant... Comme le rappelle le cabinet Backer McKenzie (source 2),  peuvent porter plainte :

  • Les actionnaires pour le préjudice subi par l’entreprise ou pour leur préjudice personnel ;
  • Les autres dirigeants ;
  • Les autorités de contrôle du ministère public ;
  • Les personnes victimes de cette fuite de données, à titre personnel ou via une action de groupe. 

Pour éviter d’arriver à de telles extrémités, il importe donc de bien se protéger ; non seulement pour être en conformité avec la loi mais également pour protéger son business d’un défaut réputationnel consécutif à une sanction de ce genre : « en définitive, sécurisation juridique et opportunité business peuvent facilement se rejoindre » (cabinet Haas - source 1).

protection entreprise fuite de données

Protéger son business de la fuite de données

La fuite des données, ou plutôt son empêchement, doit se penser à deux niveaux, celui du dirigeant et celui dans l’entreprise.

Protéger le dirigeant de l’entreprise en cas de fuite de données

Au niveau du dirigeant, le risque cyber doit être intégré dès l’origine et au plus haut niveau pour diffuser la culture cyber dans l’ensemble de l’entreprise : en parler régulièrement au comité exécutif, proposer des formations / sensibilisation aux salariés sur le sujet… Ces démarches permettent de limiter des accusations ultérieures de négligence.

Néanmoins, prévenir n’est pas guérir ; il est donc également nécessaire, pour assurer une protection personnelle, de mettre en place des délégations de pouvoir et de responsabilité pénale et de souscrire une assurance cyber au cas où les précautions susmentionnées n’empêcheraient pas l’arrivée accidentelle et inopinée d’un tel événement. En effet, l'assurance cyber propose la garantie "Responsabilité Civile en cas de fuite de données" consécutive à une cyberattaque. Celle-ci n'est pas prise en charge par la Responsabilité Civile Professionnelle.

L'assurance cyber vous protège en cas de fuite de données
Nous dépêchons des experts juridiques en cas de fuite de données pour vous accompagner dans toutes les démarches.
Souscrire

Protéger l’entreprise pour éviter une fuite de données

Parce qu’à deux c’est toujours mieux, le dirigeant doit également protéger son entreprise avec des instruments simples mais efficaces : 

  • appliquer les recommandations de l'ANSSI pour mettre en place les bases d'une bonne hygiène cyber;
  • constituer une documentation solide et pédagogique, régulièrement mise à jour, indiquant clairement les procédures et politiques de l’entreprise en matière de cybersécurité ;
  • faire des mises en situation pour que le risque cyber ne demeure pas un OINI – Objet informatique non identifié. Simulation de crises, outils de détection et de résolution des attaques…

 Les solutions sont nombreuses, à condition de prendre le problème à bras le corps.

Sources :

  1. https://www.haas-avocats.com/data/rgpd-quelles-responsabilites-du-dirigeant/
  2. https://www.bakermckenzie.com/-/media/files/insight/publications/2020/04/france-tips-and-tricks-page/tipstrickscyberscuritepisode4-responsabilite-du-dirigeant.pdf
  3. https://www.usine-digitale.fr/article/la-cnil-entame-un-controle-sur-le-niveau-de-cybersecurite-des-sites-web-francais.N2024492
  4. https://www.argusdelassurance.com/les-assureurs/groupes-de-protection-sociale/donnees-personnelles-malakoff-mederic-et-humanis-absous-par-la-cnil.142965
  5. https://www.cnil.fr/fr/fuite-de-donnees-de-sante-sanction-de-15-million-deuros-lencontre-de-la-societe-dedalus-biologie