Cybersécurité : quels challenges pour les entreprises d'ici 2020 ?

par
5
Consulter un avocat en droit des nouvelles technologies

Sommaire

  1. La mise en place de nouvelles réglementations
  2. Conséquences pour les entreprises
Consulter un avocat en droit des nouvelles technologies

La cybersécurité est devenue ces derniers temps un risque majeur pour les entreprises. Les derniers ransomwares (blocage ou prise en otage de données en échange d’une rançon) ou désorganisations massives dont la presse s’est faite l’écho, ainsi que les menaces avérées sur de très petites, moyennes et grandes entreprises ont forcé à s'interroger sur la sécurité des réseaux informatiques dont aucune société ne peut se passer à notre époque. La législation, par défaut réservée à un territoire, a bien du mal à s’adapter à ces menaces qui par définition sont mondiales et ne sont pas contingentées à une zone géographique.

L’Union Européenne a tenté de réagir à la cybermenace avec notamment deux lois concernant la sécurité de l'information et la protection des données :

- La directive de « cybersécurité » SRI (Sécurité des Réseaux et de l'Information)

- Le RGPD (Règlement Général sur la Protection des Données).

Efficaces ou pas, ces lois, mises en place d’ici la fin 2017, contraindront les entreprises à mettre en place de véritables politiques de sécurité mais aussi à signaler des fuites de données (ce qu’elles faisaient rarement jusqu’à présent pour ne pas risquer également une perte de crédibilité et de réputation).

La mise en place de nouvelles réglementations

 

L’objet de ces lois est de standardiser les règles de sécurité de l'information et de protection des données entre les États membres de l’UE afin de réhausser le niveau général de sécurité des réseaux et de gestion des données.La directive de « cyber-sécurité » SRI (Sécurité des Réseaux et de l'Information) signifie de nouvelles exigences de sécurité et de signalement d'incidents pour les entreprises. Particulièrement concernées, les entreprises de services publics, les transports et les entreprises de services financiers (opérateurs d'infrastructures critiques), doivent gérer de façon sérieuse les risques de sécurité et signaler les incidents graves à une autorité nationale.Le RGPD (Règlement Général sur la Protection des Données) a quant à lui pour but d’unifier dans une législation unique et dans toute l’Union Européenne, les règlementations de protection des données existantes. Concrètement, ce règlement, qui indique comment gérer des informations personnellement identifiables, sera applicable à toutes les entreprises ayant des activités en Europe, que les données personnellement identifiables soient stockées dans l'Union Européenne ou pas. La notion de « données personnelles » est élargie aussi aux adresses de courrier électronique, adresses IP et contenus postés sur des sites de réseaux sociaux.

Conséquences pour les entreprises

 

La grosse différence avec les mesures et lois qui existaient jusqu’à présent est que ces deux lois sont exécutoires et toute entreprise exerçant une activité au sein de l'UE, et traitant des données personnelles des sujets de l'UE, devra respecter les réglementations, au risque de subir des pénalités importantes, allant jusqu’à 2% du chiffre d'affaires annuel, dans une limite de 100 millions d'euros. Dans le RGPD, les données personnelles sont définies comme: « toute donnée concernant une personne physique identifiée ou identifiable (personne concernée) ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à une ou plusieurs caractéristiques spécifiques d'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne. » Les données concernées par cette large définition devront faire l’objet de toutes les attentions des sociétés. Ces dernières devront rassembler et traiter uniquement des données nécessaires à des fins légitimes pour leur « business ». Ces données seront obligatoirement protégées et stockées uniquement pour la durée nécessaire, et détruites définitivement ensuite.
 
En termes de sécurité, il y aura d’ailleurs aussi certainement une obligation de chiffrement des données et de présence de firewall, tandis qu'en matière de procédure, les entreprises seront obligées, en cas de fuites, d’informer les régulateurs de données et les individus touchés dans les 72 heures. La nouvelle législation impose aussi que tous les acteurs de la chaîne par laquelle transitent les données, des fournisseurs aux clients, soient conjointement responsables de la protection de celles-ci. Ceci amènera donc les hébergeurs ou les fournisseurs de solutions en ligne à exiger sans doute des assurances de traitement des données de la part de leurs clients et fournisseurs. Les pratiques d’externalisation de données vont donc connaître une révolution puisque chaque entreprise sera co-responsable.

La CNIL recommande à cet effet de s’assurer par contrat que le prestataire qui héberge ou traite les données :

- Informe sur les éventuelles autres sociétés qui auraient accès partiel ou total aux données

- Liste les pays où sont hébergés ses serveurs

- Prouve qu’il a une assurance de protection et de traitement de données pour ces pays tiers

- Assure son client qu’il l’informera en cas de demande ou requête judiciaire dans l’un des pays tiers

- A mis en place un système de traçabilité des données qu’il héberge ou traite

- A mis en place un système de continuité de service, sauvegarde, intégrité des données qu’il héberge ou traite.

Reste à savoir si vérification et garantie feront simplement l’objet d’assurances ou de véritables actions. Il se peut aussi que suite à la promulgation de ces lois, un responsable de la protection des données soit nécessaire dans chaque entreprise. Si le but de ces lois est évident, leurs conséquences ne sont donc pas évidentes. Il est quasiment impossible techniquement de savoir à l’heure actuelle où sont stockées les données que l'on manipule et quelles sociétés techniques y ont accès.

Si les entreprises respectent la loi, les coûts de traitement et d’hébergement des données exploseront: les petites sociétés seront-elles en mesure de respecter ces lois sans mettre en péril leur activité du fait des contraintes techniques et juridiques ?

Par ailleurs, du fait des ces lois, les domaines économiques qui utilisent beaucoup de données connaitront nécessairement un frein à leur développement. Enfin, l’obligation de déclarer des fuites de données risque d’avoir l’effet inverse de celui recherché. En effet, la publicité faite autour d’une fuite de données risque de renforcer le pouvoir des cybercriminels (car par exemple le moindre ransomware, même facile à neutraliser, sera de fait une menace) et de développer aussi des chantages aux fausses fuites.

Si la cybercriminalité pose un réel défi pour tous les acteurs économiques dans les prochaines années, la directive SRI et le RGPD peuvent représenter des contraintes supplémentaires pour les entreprises, notamment les TPE-PME.

Maxime

Écrit par

Maxime

Après avoir travaillé en finance à l'international puis dans la grande distribution en France, Maxime est devenu dirigeant d'entreprise. En contact avec de nombreux entrepreneurs, sa mission est de simplifier l'accès au droit grâce au numérique et favoriser le développement de l'entrepreneuriat en France.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Contrat de licence d’utilisation de logiciel : les éléments à connaître

Vous avez créé un logiciel que vous souhaitez mettre sur le marché. Félicitations ! Avez-vous pensé ...

Maxime

Maxime

Différences entre contrat de licence logiciel et contrat SaaS

 La plupart des rédacteurs de contrats IT savent faire la différence entre un contrat de licence ...

Maxime

Maxime

Copyright © : définition, explications et exemples incontournables en droit de la propriété intellectuelle

La mention copyright se retrouve dans le langage courant français sans que l’on ne sache vraiment ...

Amélie Gautier

Amélie Gautier

Protection des biens personnels : l’importance de la responsabilité limitée

La responsabilité limitée implique des personnes physiques, au sein d’une société. En outre, il ...

Amélie Gautier

Amélie Gautier

5 minutes pour tout savoir sur la cession de droits

 

Maxime

Maxime

La procédure à suivre pour changer l'adresse d'une entreprise

Le siège social d’une société détermine l’adresse officielle d’une entreprise, son domicile ...

Maxime

Maxime

La responsabilité civile professionnelle de l'avocat : 3 points essentiels à retenir

Contrairement aux idées reçues, la profession d’avocat ne consiste pas uniquement à plaider devant ...

Amélie Gautier

Amélie Gautier

Qu’est-ce que la cession de propriété intellectuelle ?

Dès la création de la société puis au long de son développement, le dirigeant, fondateur de la ...

Me Yoram Kouhana

Me Yoram Kouhana

Les 5 logiciels de paie les plus simples et les pratiques pour les PME

De nos jours, utiliser un logiciel de paie est incontournable et obligatoire pour gérer la paie de ...

Philippe

Philippe

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier