Obligations de cybersécurité : comment s’en affranchir ?

11 avril 2022

Depuis la mise en vigueur du RGPD le 25 mai 2018, les données personnelles sont de mieux en mieux protégées. Toutefois, les sanctions prévues par cette réglementation font peser un risque considérable sur toutes les entreprises. Il est de leurs obligations de protéger les données personnelles de leurs salariés, de leurs clients et de leurs partenaires. En cas de négligence, les sanctions peuvent atteindre les 20 millions d’euros ou amputer jusqu’à 4 % du chiffre d’affaires mondial. Malgré ces lourdes sanctions, c’est bien souvent le time-to-market qui prend le dessus au sein des entreprises. Mais à quoi bon faire vite sans vouloir faire bien ? Que vaut le succès d’une entreprise si elle perd par négligence des données sensibles appartenant à ses clients et partenaires ? Quels sont les impacts de la violation du RGPD ? Comment se décharger de cette obligation de cybersécurité ? Les réponses en détail.

I. Non-respect du RGPD : conséquences et sanctions à tous les niveaux

Il revient à la Direction de prendre des décisions éclairées pour minimiser le risque numérique. C’est bien l’entreprise qui sera mise en cause en cas de défaillance. Et pourtant, malgré la croissance démesurée des cyberattaques, de nombreuses entreprises sont très mal-préparées. Certaines d’entre elles ne disposent même pas des mesures de sécurité de base pour protéger leur système d’information.

A. Les conséquences à l’échelle de l’entreprise en matière de sécurité informatique

Si la violation des données continue de faire la Une des médias, c’est surtout à cause des manquements à l’obligation de sécurité des données. En effet, 2/3 des sanctions déclarées par la CNIL concernent un défaut de sécurisation des données personnelles. Et pourtant, les conséquences d’un tel incident à l’échelle de l’entreprise sont nombreuses :

  • Perte financière comprenant l’indemnisation des victimes, les frais juridiques, les pénalités réglementaires ;
  • Atteinte à la réputation durable pouvant anéantir la capacité à attirer de nouveaux clients, investisseurs et employés ;
  • Arrêt des activités pour contenir la violation et déterminer l’origine du problème et les systèmes touchés…

B. Cybersécurité : Les conséquences pour le dirigeant

La responsabilité du dirigeant d’entreprise est engagée d’après l’article 29 de la loi relative à l’informatique. Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage à prendre toutes les précautions nécessaires afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
En cas de violation de cette loi, le dirigeant d’entreprise peut être sanctionné par le Code pénal 226-16. Il peut encourir jusqu’à cinq ans d’emprisonnement et d’une amende qui peut atteindre 300 000 €.

C. Les conséquences pour les employés

Les données personnelles valent de l’or… Les employés peuvent être tentés de les revendre à des tiers. Un incident similaire s’est déjà produit chez le géant Amazon en janvier 2020 [2], un acte qui a valu le licenciement des salariés concernés.
Sur le territoire français, l’article 1383 du Code civil est clair. Chaque employé est responsable du préjudice qu’il a engendré, non seulement par son acte, mais aussi par sa négligence ou son imprudence. Pour un acte semblable à celui de chez Amazon, un employé risque une sanction disciplinaire pouvant aller jusqu’au licenciement pour faute grave. L’employeur peut exiger auprès du salarié le remboursement des sommes versées à la suite de réclamations ou des demandes de dédommagement des victimes.

II. La solution rentable pour une PME en vue d’assurer sa cybersécurité et rester en conformité avec le RGPD

La plupart des entreprises disposent aujourd’hui d’un DSI ou d’un RSSI pour assurer la cybersécurité et protéger les données sensibles. Cependant, le budget limité des PME leur empêche souvent d’embaucher de telles compétences. En effet, le salaire d’un DSI avoisine actuellement les 115.500 €/an contre 73.500 €/an pour le RSSI. Ce sont les résultats d’une enquête commandée par Robert Half, menée auprès de 300 dirigeants français [1].

Pour assurer leur cybersécurité à moindre coût, les PME doivent ruser. Elles sont maintenant nombreuses à déléguer la gestion des risques cyber entre les mains d’un fournisseur de services managés ou MSP (Managed service provider). En plus d’être en cybersécurité, elles sont encadrées par des procédures de sécurité et de confidentialité conformes aux exigences de l’ANSSI et de la CNIL.

En s’appuyant sur un MSP, l’entreprise s’affranchit alors de l’obligation de cybersécurité puisque c’est ce prestataire externe qui va tout gérer.

Conclusion

Compte tenu des accès distants avec le télétravail et de la multiplication des cyberattaques, dirigeants et décideurs ont intérêt à rester vigilants. Si l’absence de moyens de sécurisation peut constituer une faute civile, la mise en place de mesures de sécurité insuffisante peut constituer une faute par abstention.

Pour garantir une cybersécurité à 360°, rien ne vaut l’expertise d’un professionnel comme Infiny Link, qui en a fait son cœur de métier depuis plus de 15 ans. Nous disposons des ressources humaines et technologiques adaptées au budget des PME pour sécuriser leurs systèmes d’information 24h/24 et 7j/7. De nature proactive, nous restons en veille sur tout ce qui se passe dans l’industrie numérique pour maintenir l’attention et pour mener des opérations préventives.

D’ailleurs, entre cybersécurité réactive et proactive, quelle est la meilleure stratégie ?

Références
[1] Guide des Salaires 2022
[2] Amazon affirme avoir licencié des salariés qui diffusaient les données personnelles de clients à des tiers