Dans la vie quotidienne de votre entreprise, vous collectez tous les jours un grand nombre de données plus ou moins sensibles sur vos collaborateurs, vos clients, vos fournisseurs etc… Avec l’essor de la mobilité et d’Internet, ce nombre de données échangées, conservées ou utilisées est devenu phénoménal tout comme votre risque de cyberattaque, de corruption de votre système informatique ou de malveillance interne ! Ces données peuvent donc devenir une vraie menace pour votre entreprise.
Pourquoi ?
Quel cadre est prévu à leur protection ?
Comment vous prémunir du risque de fuite ?
Regardons ensemble comment mieux vous assurer de la collecte de données personnelles.
1. Comment protège-t-on les données relatives à la vie privée ?
L’article 4 du Règlement UE et la loi du 27 avril 2016 définissent le cadre de la protection des données. On entend par données personnelles, « toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »
La loi pose un principe de loyauté dans la collecte des données qui doit être proportionnée et pertinente par rapport à l’objectif poursuivi. Seules les données nécessaires à l’usage requis peuvent être exigées. Ce principe de loyauté entraîne une obligation d’information de l’utilisateur sur l’identité du collecteur, la finalité de la collecte de données, son caractère obligatoire ou facultatif, les conséquences d’un défaut de communication, les destinataires de ces données, le droit d’opposition, d’accès, de modification et de suppression.
2. Quels risques encourt l’entreprise en cas d’atteinte à la vie privée ?
La collecte et l’exploitation des données personnelles doivent être particulièrement encadrées et maîtrisées, pour éviter toute atteinte à la vie privée de l’utilisateur. Au niveau pénal, le respect de la vie privée est encadré par l’article 9 du Code civil et par l’article 226-1 du Code pénal. Il faut savoir que la loi ne définit pas limitativement la vie privée, elle en donne des exemples, étayés par la jurisprudence.
La personne dont la vie privée est violée peut demander en justice des dommages-intérêts au coupable et le juge peut ordonner toutes mesures propres à empêcher ou à faire cesser une atteinte à l’intimité de la vie privée comme la saisie ou la mise sous séquestre. Les entreprises coupables des délits prévus par la section du Code pénal intitulée « De l’atteinte à la vie privée », risquent, en plus de l’amende, les peines suivantes : l’interdiction définitive ou temporaire d’exercer directement ou indirectement l’activité professionnelle ou sociale dans le cadre de laquelle l’infraction a été commise, et l’affichage ou la diffusion de la décision de justice.
3. Comment s’en prémunir : la réponse assurantielle
Une fuite de données en entreprise, peut avoir de graves répercussions. Vous pouvez déjà vous prémunir d’une partie de ce risque en vous informant sur celui-ci et en formant vos collaborateurs afin de développer une vigilance accrue. Il faut aussi savoir que certaines entreprises sont plus exposées que d’autres au piratage de leurs données : lorsqu’elles utilisent ou conservent une base importante de données, lorsqu’elles ont accès à des données à caractère sensible (secteur financier, médical, conseil…) et lorsqu’elles présentent une protection fragile.
Les assurances professionnelles classiques vous prémunissent d’une partie du risque mais de manière insuffisante car les cyberattaques font souvent partie des exclusions de ce type de polices, étant donné l’importance de ces attaques et de leurs conséquences financières.
Ainsi, l’assurance dommages informatiques ou l’assurance tous risques informatiques vous remboursera votre matériel informatique en cas d’incendie et de vol mais pas pour la fuite de données ; l’assurance Responsabilité Civile jouera si votre entreprise est mise en cause par un tiers pour faute, défaut de conseil ou malfaçon mais ne prendra pas en charge une mise en cause suite à un vol de données; l’assurance fraude couvrira les conséquences financières mais ne jouera pas en cas de perte de vos données suite à une cyber fraude…
Seule une cyberassurance peut couvrir l’ensemble de ces situations car parmi tous les cyber dommages, la perte de données est une garantie comprise dans toutes les polices cyber risques.
Ces contrats d’assurance spécialisés s’articulent en 3 volets :
- La gestion de crise qui prévoit la mise à disposition et la prise en charge de l’ensemble des frais et honoraires des experts informatiques, juridiques et conseillers en communication afin de restaurer, sécuriser les données perdues et protéger l’image de votre entreprise.
- L’indemnisation des préjudices subis suite à la fuite de données : frais de restauration des données, frais de notification, frais d’enquête et sanctions pécuniaires prononcées par une autorité administrative, paiement de la rançon en cas de menace d’extorsion, perte d’exploitation suite à atteinte à la sécurité du système informatique, et également des garanties généralement optionnelles telles que la fraude téléphonique et la fraude informatique.
- La responsabilité civile et la défense juridique qui prend en charge, en cas de mise en cause par des tiers, les frais de défense juridique, consécutive à la violation de données, et le remboursement des dommages et intérêts dus aux tiers, victimes du vol de données.
Une cyber assurance est donc une protection incontournable surtout si votre entreprise utilise des données confidentielles ou sensibles. Groupe Rouge vous aide à identifier et analyser les risques que court votre entreprise et réalise votre bilan assurantiel. Nous sommes à votre écoute pour cerner au mieux vos besoins, définir les garanties nécessaires et leur plafond afin de choisir ensemble le contrat le plus adapté à votre société.
Pour plus d'informations, n'hésitez pas à nous contacter :
Alain RABOUYT
01.53.04.22.78
E-mail : a.rabouyt@grouperouge.fr
Rosa Le Coquil
01.53.78.21.53
E-mail : r.lecoquil@grouperouge.fr