CRÉER MON ENTREPRISE
PROTÉGER MA MARQUE
BIEN S’ENTOURER
LIRE LES TOP ARTICLES
MODIFIER MON ENTREPRISE
GÉRER MON ENTREPRISE
GÉRER MES SALARIÉS
SURMONTER LES LITIGES
FERMER MON ENTREPRISE
CONTRAT COMMERCIAL
CONTRAT DE TRAVAIL
DÉLÉGUER MON JURIDIQUE
GUIDES
BLOG
CRÉER MON ENTREPRISE
PROTÉGER MA MARQUE
BIEN S’ENTOURER
LIRE LES TOP ARTICLES
MODIFIER MON ENTREPRISE
GÉRER MON ENTREPRISE
GÉRER MES SALARIÉS
SURMONTER LES LITIGES
FERMER MON ENTREPRISE
CONTRAT COMMERCIAL
CONTRAT DE TRAVAIL
DÉLÉGUER MON JURIDIQUE
GUIDES
BLOG
/Max%20rond%20120x120.png?width=32&height=32&name=Max%20rond%20120x120.png){kind=small}
La cybersécurité est devenue ces derniers temps un risque majeur pour les entreprises. Les derniers ransomwares (blocage ou prise en otage de données en échange d’une rançon) ou désorganisations massives dont la presse s’est faite l’écho, ainsi que les menaces avérées sur de très petites, moyennes et grandes entreprises ont forcé à s'interroger sur la sécurité des réseaux informatiques dont aucune société ne peut se passer à notre époque. La législation, par défaut réservée à un territoire, a bien du mal à s’adapter à ces menaces qui par définition sont mondiales et ne sont pas contingentées à une zone géographique.
L’Union Européenne a tenté de réagir à la cybermenace avec notamment deux lois concernant la sécurité de l'information et la protection des données :
- La directive de « cybersécurité » SRI (Sécurité des Réseaux et de l'Information)
- Le RGPD (Règlement Général sur la Protection des Données).
Efficaces ou pas, ces lois, mises en place fin 2017, contraindront les entreprises à mettre en place de véritables politiques de sécurité mais aussi à signaler des fuites de données (ce qu’elles faisaient rarement jusqu’à présent pour ne pas risquer également une perte de crédibilité et de réputation).
La mise en place de nouvelles réglementations
L’objet de ces lois est de standardiser les règles de sécurité de l'information et de protection des données entre les États membres de l’UE afin de réhausser le niveau général de sécurité des réseaux et de gestion des données.La directive de « cyber-sécurité » SRI (Sécurité des Réseaux et de l'Information) signifie de nouvelles exigences de sécurité et de signalement d'incidents pour les entreprises. Particulièrement concernées, les entreprises de services publics, les transports et les entreprises de services financiers (opérateurs d'infrastructures critiques), doivent gérer de façon sérieuse les risques de sécurité et signaler les incidents graves à une autorité nationale.Le RGPD (Règlement Général sur la Protection des Données) a quant à lui pour but d’unifier dans une législation unique et dans toute l’Union Européenne, les règlementations de protection des données existantes. Concrètement, ce règlement, qui indique comment gérer des informations personnellement identifiables, sera applicable à toutes les entreprises ayant des activités en Europe, que les données personnellement identifiables soient stockées dans l'Union Européenne ou pas. La notion de « données personnelles » est élargie aussi aux adresses de courrier électronique, adresses IP et contenus postés sur des sites de réseaux sociaux.
Conséquences pour les entreprises
La grosse différence avec les mesures et lois qui existaient jusqu’à présent est que ces deux lois sont exécutoires et toute entreprise exerçant une activité au sein de l'UE, et traitant des données personnelles des sujets de l'UE, devra respecter les réglementations, au risque de subir des pénalités importantes, allant jusqu’à 2% du chiffre d'affaires annuel, dans une limite de 100 millions d'euros. Dans le RGPD, les données personnelles sont définies comme: « toute donnée concernant une personne physique identifiée ou identifiable (personne concernée) ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à une ou plusieurs caractéristiques spécifiques d'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne. » Les données concernées par cette large définition devront faire l’objet de toutes les attentions des sociétés. Ces dernières devront rassembler et traiter uniquement des données nécessaires à des fins légitimes pour leur « business ». Ces données seront obligatoirement protégées et stockées uniquement pour la durée nécessaire, et détruites définitivement ensuite.
En termes de sécurité, il y aura d’ailleurs aussi certainement une obligation de chiffrement des données et de présence de firewall, tandis qu'en matière de procédure, les entreprises seront obligées, en cas de fuites, d’informer les régulateurs de données et les individus touchés dans les 72 heures. La nouvelle législation impose aussi que tous les acteurs de la chaîne par laquelle transitent les données, des fournisseurs aux clients, soient conjointement responsables de la protection de celles-ci. Ceci amènera donc les hébergeurs ou les fournisseurs de solutions en ligne à exiger sans doute des assurances de traitement des données de la part de leurs clients et fournisseurs. Les pratiques d’externalisation de données vont donc connaître une révolution puisque chaque entreprise sera co-responsable.
La CNIL recommande à cet effet de s’assurer par contrat que le prestataire qui héberge ou traite les données :
- Informe sur les éventuelles autres sociétés qui auraient accès partiel ou total aux données
- Liste les pays où sont hébergés ses serveurs
- Prouve qu’il a une assurance de protection et de traitement de données pour ces pays tiers
- Assure son client qu’il l’informera en cas de demande ou requête judiciaire dans l’un des pays tiers
- A mis en place un système de traçabilité des données qu’il héberge ou traite
- A mis en place un système de continuité de service, sauvegarde, intégrité des données qu’il héberge ou traite.
Reste à savoir si vérification et garantie feront simplement l’objet d’assurances ou de véritables actions. Il se peut aussi que suite à la promulgation de ces lois, un responsable de la protection des données soit nécessaire dans chaque entreprise. Si le but de ces lois est évident, leurs conséquences ne sont donc pas évidentes. Il est quasiment impossible techniquement de savoir à l’heure actuelle où sont stockées les données que l'on manipule et quelles sociétés techniques y ont accès.
Si les entreprises respectent la loi, les coûts de traitement et d’hébergement des données exploseront: les petites sociétés seront-elles en mesure de respecter ces lois sans mettre en péril leur activité du fait des contraintes techniques et juridiques ?
Par ailleurs, du fait des ces lois, les domaines économiques qui utilisent beaucoup de données connaitront nécessairement un frein à leur développement. Enfin, l’obligation de déclarer des fuites de données risque d’avoir l’effet inverse de celui recherché. En effet, la publicité faite autour d’une fuite de données risque de renforcer le pouvoir des cybercriminels (car par exemple le moindre ransomware, même facile à neutraliser, sera de fait une menace) et de développer aussi des chantages aux fausses fuites.
Si la cybercriminalité pose un réel défi pour tous les acteurs économiques dans les prochaines années, la directive SRI et le RGPD peuvent représenter des contraintes supplémentaires pour les entreprises, notamment les TPE-PME.
