Se prémunir contre une atteinte aux données

Plus de 700 millions de cyberattaques auraient été enregistrées à travers le monde en 2017 pour un coût total estimé de 600 milliards de dollars. Dans ces circonstances et quelle que soit sa taille, une entreprise doit prendre la mesure de la menace que représente la cybercriminalité et mettre en place des mesures préventives afin de minimiser le risque d’atteinte à la confidentialité, à l’intégrité et/ou à la disponibilité des données.

SECURISATION DU SYSTEME D’INFORMATION

Du fait de la nature et du caractère sensible de certaines données, le législateur a mis à la charge des professionnels une obligation de sécurité.

Ainsi, concernant les données à caractère personnel, l’article 32 du RGPD précise que le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque[i]. L’application d’un mécanisme de certification approuvé, tel que la norme ISO 27001 relative à la gestion de la sécurité de l’information, peut permettre de démontrer le respect des exigences de sécurité[ii]. Pour exemple, l’Agence nationale des systèmes d’information partagés de santé (ASIP Santé) vérifie la conformité des hébergeurs cloud de données médicales à cette norme pour délivrer leur agrément[iii].
 
Le chiffrement, notamment des fichiers et des serveurs, constitue par ailleurs un des procédés indispensables pour assurer la confidentialité des données comme l’a précisé la Cnil dans son guide pratique sur la sécurité des données personnelles[iv]. Les référentiels de sécurité recommandent, également, la mise en place de mesures de sécurité physique telles qu’une politique de restrictions des accès et la mise en œuvre d’un système de journalisation afin de conserver une trace de ces accès.

Il est à noter que la mise en place de ces mesures participe à la protection d’un certain nombre d’informations jugées stratégiques pour une entreprise. En effet, depuis la loi du 21 juin 2018 relative à la protection du secret des affaires, une entreprise peut bénéficier de cette protection pour certaines informations, telles qu’un secret commercial, savoir-faire et/ou secret de fabrique, si elle démontre avoir mis en œuvre des mesures de protection raisonnables pour en conserver le caractère secret.

SENSIBILISATION DES EQUIPES

Si les entreprises sont de plus en plus sensibilisées à la nécessité de sécuriser leur système d’information et d’installer des logiciels de lutte contre les menaces, elles sont moins conscientes du rôle joué par le facteur humain dans les cyberattaques. Il apparaît en effet que la majorité des programmes malveillants sont installés à partir de pièces jointes envoyées par e-mail.

Conscientes de ces risques, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Confédération des petites et moyennes entreprises (CPME) ont publié un guide de bonnes pratiques pour sensibiliser les collaborateurs aux règles d’hygiène informatique[v]. Il leur est notamment recommandé de :

  • choisir avec soin leurs mots de passe ;
  • mettre à jour régulièrement les logiciels ;
  • protéger leurs données lors des déplacements ;
  • être vigilant lors de l’utilisation de leur messagerie.

Outre la mise en place de plan de formation, il appartient à chaque entreprise d’élaborer une charte informatique précisant les règles de sécurité applicables qui sera annexée au règlement intérieur ou au contrat de travail afin de lui donner une valeur contraignante.

MISE EN PLACE D’UNE POLITIQUE CONTRACTUELLE DE SECURITE

Dans l’objectif de garantir la sécurité et la confidentialité des données personnelles, l’article 28 du RGPD, qui régit la relation entre un responsable de traitement et son sous-traitant, impose à ces derniers de conclure un contrat comportant des informations sur le traitement et les obligations du sous-traitant. Afin de guider les entreprises dans la rédaction de ce contrat et en attendant l’adoption de clauses types, la Cnil propose, d’ores et déjà, au sein de son guide du sous-traitant, un modèle de clauses de sous-traitance[vi].

Le sort des données au terme de la prestation de services, objet de la sous-traitance, est prévu au paragraphe 12 de ce modèle. Cette clause, souvent dénommée « clause de réversibilité des données », permet de détruire ou de récupérer ses données et ainsi de retrouver la maîtrise de leur sécurité à la fin de la relation contractuelle.

La signature d’un accord de confidentialité en amont des négociations et/ou l’insertion d’une clause de confidentialité dans les contrats commerciaux permet de se prémunir contre les comportements nuisibles tels que la divulgation et l’usurpation qui pourraient découler de la mise à disposition d’informations à des tiers. Il appartiendra aux parties d’identifier la nature des informations confidentielles, de limiter leur divulgation aux seules personnes habilitées et d’indiquer la durée de l’obligation de confidentialité.

Enfin, lors de la conclusion d’un contrat avec un prestataire, il peut être intéressant d’insérer une clause d’audit permettant ainsi au client de contrôler le respect des exigences de sécurité par le prestataire. En cas de manquement à l’une des obligations de sécurité et de risque non négligeable pour la disponibilité, la confidentialité et/ou l’intégrité des données, le client doit être en mesure d’appliquer des pénalités voire de résilier le contrat de plein droit.

MISE EN ŒUVRE D’UNE STRATEGIE PREVENTIVE DE PROTECTION

En cas de vol de ses données, une entreprise peut se retrouver dans une situation où elle doit prouver qu’elle détient des droits de propriété intellectuelle sur les créations numériques dérobées (code source d’un logiciel, base de données, etc.) mais, également, qu’elle a souhaité conserver secrètes certaines informations divulguées (méthodes, savoir-faire, business plan, etc.) afin de bénéficier de la protection du secret des affaires.

Dans ce contexte, le dépôt effectué auprès d’un huissier ou d’un organisme tel que l’Agence pour la protection des programmes (APP) permet de matérialiser les éléments qu’une entreprise entend protéger, de figer leur contenu et de leur donner une date certaine.

[i] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 32.
[ii] Ibid.
[iii] Agence nationale des systèmes d’information partagés de santé, Certification des hébergeurs de données de santé : https://esante.gouv.fr/services/certification-des-hebergeurs-de-donnees-de-sante.
[iv] Commission nationale de l’informatique et des libertés, Les guides de la CNIL : La sécurité des données personnelles, 2018 : https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf.
[v] Agence nationale de la sécurité des systèmes d’information et la Confédération des petites et moyennes entreprises, Guide des bonnes pratiques de l’informatique : 12 règles essentielles pour sécuriser vos équipements numériques, 2017 : https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf.
[vi] Commission nationale de l’informatique et des libertés, RGPD : Guide du sous-traitant, édition septembre 2017 : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf.