Cybersécurité et RGPD des enjeux majeurs pour les entreprises
La Cybersécurité et le RGPD (Règlement général sur la protection des données) engendrent des obligations légales qui sont encore trop méconnues ou prises à la légère par de nombreuses entreprises.
La cybersécurité est un enjeu majeur pour les entreprises de toutes tailles, en effet, elles doivent protéger les données sensibles de leurs clients pour éviter des pertes financières considérables, des dommages à la réputation et une violation de la vie privée. En tant que dirigeant d’entreprise, vous avez une obligation légale de mettre en place des mesures de sécurité appropriées pour garantir la confidentialité et la sécurité des données que vous traitez conformément au RGPD.
Quelles sont les obligations des entreprises et de leurs dirigeants en matière de cybersécurité ?
Vous connaissez l’adage : « nul n’est censé ignorer la loi »
AccoForm a sélectionné pour vous les principaux articles de lois de la CNIL concernant la responsabilité des gérants d’entreprises et la cybersécurité sont les suivants :
Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Loi Informatique et Libertés) :
• Article 6-3 prévoit la responsabilité du responsable du traitement des données à caractère personnel et les sanctions pénales en cas de violation de la loi.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) :
• Article 32 prévoit les mesures de sécurité minimales à prendre pour protéger les données à caractère personnel, y compris la cybersécurité.
• Article 83 prévoit les sanctions administratives et pénales pour les entreprises qui ne respectent pas les obligations de la RGPD.
• Article 5 et Article 83 prévoient les obligations des entreprises en matière de protection des données à caractère personnel et les sanctions administratives et pénales en cas de violation de la RGPD.
Qu’avez-vous pris comme disposition pour vous mettre en conformité ?
Le gendarme CNIL (Commission nationale de l’informatique et des libertés) veille et condamne
Le Décret n°2018-687 du 1er août 2018 relatif à la Commission nationale de l’informatique et des libertés (CNIL) cadre les principaux axes :
• Article L.51-1 et L.51-2 prévoient les compétences de la CNIL en matière de contrôle et de sanctions pour les violations de la loi informatique et libertés.
En résumé, les gérants d’entreprises sont tenus de respecter les dispositions de la loi Informatique et Libertés ainsi que les exigences de la RGPD et de la CNIL en matière de protection des données à caractère personnel et de cybersécurité. Les violations peuvent entraîner des sanctions administratives et/ou pénales.
Quels sont les risques juridiques et financiers ?
Vous avez donc des obligations envers la CNIL (Commission nationale de l’informatique et des libertés) qui peut vous infliger des sanctions lourdes en cas de non-respect de ces obligations. Si votre entreprise ne prend pas les mesures nécessaires pour protéger les données, elle risque d’être sanctionnée jusqu’à 3 000 000€. En matière pénale, le gérant peut encourir jusqu’à 5 ans d’emprisonnement et 300 000€ d’amende.
Pourquoi les PME et les TPE sont souvent les cibles de cyberattaques ?
Nous avons identifié 4 principales raisons qui expliquent le ciblage des petites structures :
1. Données sensibles à portée de main : Les PME et les TPE peuvent avoir accès à des données sensibles telles que les informations financières et les données personnelles de leurs clients, ce qui peut attirer les cyberattaquants.
2. Faible protection informatique : Les petites entreprises ont souvent un budget limité pour la cybersécurité, ce qui les rend plus vulnérables aux cyberattaques.
3. Manque de formation et de sensibilisation : Les employés des PME et des TPE peuvent ne pas avoir la formation nécessaire pour reconnaître les menaces informatiques et les éviter.
4. Connexion à de grands réseaux : Les PME et les TPE peuvent être connectées à des réseaux plus importants, ce qui peut les exposer à des risques accrus de cyberattaque.
En résumé, les PME et les TPE peuvent sembler des cibles plus faciles pour les cyberattaquants en raison de leur faible protection informatique, de leur accès à des données sensibles et de leur manque de formation en matière de cybersécurité. Il est important pour les PME et les TPE d’investir dans des mesures de sécurité pour se protéger contre les cyberattaques.
Des exemples de cyberattaque sur les deux dernières années
Attaque de Colis Prive en 2021 :
Une attaque informatique a compromis les données de plusieurs milliers de clients de la société de livraison Colis Privé. La CNIL a infligé une amende de 3 millions d’euros à la société pour manquement à ses obligations de protection des données personnelles.
Attaque de Tikehau Capital en 2021 :
Une cyberattaque a entraîné la fuite de données financières sensibles de Tikehau Capital, y compris les informations sur les comptes bancaires et les investissements de ses clients. La CNIL a ouvert une enquête sur l’incident.
Attaque de la mairie de Paris en 2021 :
Une cyberattaque a affecté les systèmes informatiques de la mairie de Paris, compromettant les données sensibles des citoyens. Les autorités ont lancé une enquête pour déterminer les causes de l’incident et les mesures à prendre pour éviter les répétitions.
Attaque de Société Générale en 2022 :
Une cyberattaque a compromis les systèmes informatiques de la banque Société Générale, entraînant une interruption temporaire des services en ligne pour les clients. La CNIL a ouvert une enquête pour déterminer les causes de l’incident et les mesures à prendre pour éviter les répétitions.
Attaque de Orange en 2022 :
Une cyberattaque a entraîné une fuite de données sensibles d’un grand nombre d’abonnés d’Orange, y compris les informations personnelles et les informations de paiement. La CNIL a infligé une amende de 4 millions d’euros à Orange pour manquement à ses obligations de protection des données personnelles.
Attaque de Sanofi en 2022 :
Une cyberattaque a compromis les systèmes informatiques de la société pharmaceutique Sanofi, entraînant une interruption temporaire des activités de recherche et développement. Les autorités ont lancé une enquête pour déterminer les causes de l’incident et les mesures à prendre pour éviter les répétitions.
Des risques juridiques et des amendes pour non-respect du RGPD et de la CNIL :
C’est la double peine pour les entreprises qui subissent une cyber attaque et qui n’ont pas respecté leurs obligations.
Vous l’ignorez sans doute mais c’est lors de la déclaration ou de la non déclaration d’une attaque de votre système d’informations que la CNIL peut vous sanctionner.
En effet le non-respect du RGPD et de la CNIL peut entraîner des sanctions pécuniaires importantes pour les entreprises négligentes. Voici une liste non exhaustive des sanctions potentielles :
1. Amendes administratives : La CNIL peut imposer des amendes administratives allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel de l’entreprise, selon le cas le plus élevé.
2. Dommages et intérêts : Les personnes affectées par un manquement à la protection des données peuvent demander des dommages et intérêts à l’entreprise responsable.
3. Réparation du préjudice : Les entreprises peuvent être tenues de réparer le préjudice causé par une violation de la protection des données.
4. Interdiction d’utiliser les données : La CNIL peut imposer une interdiction d’utiliser les données collectées de manière illégale.
5. Publication de la décision de la CNIL : La CNIL peut publier une décision mettant en évidence une violation de la protection des données pour sensibiliser les consommateurs et les entreprises.
Il est important pour les entreprises de prendre les mesures nécessaires pour respecter les obligations en matière de protection des données personnelles.
Les conséquences juridiques du non respect du RGPD et de la CNIL
En plus des sanctions financières, le non-respect du RGPD et de la CNIL peut également entraîner des risques juridiques pour les entreprises. Voici quelques exemples :
1. Poursuites judiciaires : Les personnes affectées par une violation de la protection des données peuvent intenter une action en justice contre l’entreprise responsable pour réclamer des dommages et intérêts.
2. Problèmes de réputation : Une violation de la protection des données peut entraîner une perte de confiance de la part des clients et du public, ainsi qu’une mauvaise réputation pour l’entreprise.
3. Sanctions judiciaires : Les tribunaux peuvent imposer des sanctions judiciaires pour une violation de la protection des données, y compris des dommages et intérêts, des injonctions et des peines de prison pour les individus responsables.
4. Coûts supplémentaires : Les entreprises doivent prendre en compte les coûts supplémentaires liés à la mise en conformité avec le RGPD et la CNIL, y compris les coûts de formation, de mise en place de mesures de protection des données et de réparation des violations.
Comment éviter les sanctions financières ?
Les dirigeants d’entreprises doivent :
• Former les employés sur les bonnes pratiques de cybersécurité et les obligations légales.
• Mettre en place des mesures de sécurité technologiques (chiffrement, pare-feu, antivirus).
• Évaluer régulièrement les risques pour la sécurité des données et y remédier.
• Établir des procédures de gestion des incidents de sécurité.
• Définir une politique de protection des données.
En tant que dirigeant, vous avez une obligation légale de protéger les données sensibles de votre entreprise et de vos clients. Les conséquences juridiques et les sanctions potentielles peuvent être aggravées si les mesures de sécurité appropriées ne sont pas prises. Il est donc impératif de prendre des mesures pour garantir la sécurité des données et éviter les conséquences juridiques.
En conclusion, la formation en cybersécurité est cruciale pour protéger les systèmes informatiques et les données sensibles. Cela peut aider les individus et les entreprises à être mieux préparés face aux menaces en ligne croissantes et à minimiser les risques de cyberattaques. En investissant dans la formation en cybersécurité, on peut garantir la protection des informations précieuses et assurer la continuité des activités commerciales.
Par conséquent, il est fortement recommandé de se former en cybersécurité pour rester à jour avec les dernières techniques de protection et être en mesure de faire face aux défis en constante évolution de la cybersécurité.
Sources de notre article :
https://www.cnil.fr/les-sanctions-prononcees-par-la-cnil
https://www.cnil.fr/fr/thematique/cnil/sanctions
https://blockproof.fr/blog/sanctions-rgpd-entreprises-pays
https://www.donneespersonnelles.fr/sanctions-rgpd-que-vous-devez-imperativement-connaitre
Et si vous passiez à l’action en 2023, inscrivez-vous gratuitement à un cyber diag