Sécurité informatique et protection des données personnelles
Actualité
18 mai 2022

Sécurité informatique et protection des données personnelles

Nos données personnelles sont devenues le nouvel eldorado. Chaque jour, selon le paramétrage de nos outils informatiques, nos données peuvent en effet être collectées par diverses applications avides de connaitre notre géolocalisation, les sites internet visités, les recherches effectuées, etc. Autant d’informations qui valent de l’or pour qui sait les utiliser pour le meilleur et … pour le pire en cas d’attaque informatique.

Conscient des risques, les pouvoirs publics ont fait de la sécurité informatique une obligation réglementaire, sanctionnée sur les terrains administratif et pénal. L’article 32 du Règlement Général de la Protection des Données (RGPD) impose ainsi aux responsables de traitement de données à caractère personnel de mettre en œuvre les mesures techniques et organisationnelles adéquates et proportionnées aux risques qui peuvent en résulter pour les droits et libertés des personnes. Et des manquements sont régulièrement sanctionnés par la Commission Nationale de l'Informatique et des Libertés (CNIL) qui a par exemple infligé des amendes administratives de 1,5 millions € en avril 2022 pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes, de 300 000 € en janvier 2022 pour un opérateur téléphonique n’ayant pas respecté les droits des personnes et la sécurité des données de ses utilisateurs, de 180 000 € en décembre 2021 pour un établissement de paiement ayant insuffisamment protégé les données personnelles des utilisateurs et ne les ayant pas informés d’une violation de données ou encore de 500 000 € en juin 2021 pour une enseigne de bricolage ayant envoyé des courriels de prospection sans le consentement des personnes destinataires et exigé des mots de passe insuffisamment robustes notamment lors de la création d’un compte sur son site web.

En plus de ces sanctions administratives, rendues publiques sur le site de la CNIL, le risque est également pénal : si une personne fait procéder à un traitement de données à caractère personnel sans mettre en œuvre les obligations réglementaires visées au RGPD, elle s’expose à cinq ans d'emprisonnement et à 300 000 € d'amende (art. 226-17 c. pén.).

Enfin toute violation de donnée accroit le risque d’un contrôle de l’entreprise par la CNIL.

I - Qu’est-ce qu’une violation de données personnelles ?

Les violations peuvent tenir, de façon générale, à la destruction, la perte, l'altération, la divulgation non autorisée de données ou à l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

Sur son site internet, la CNIL précise qu’il peut s’agir de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données personnelles : suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ; perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ; introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.

Particularité de la réglementation : les entreprises ont l’obligation de notifier les violations de données à caractère personnel dont elles font l’objet tant à la CNIL qu’aux personnes concernées. 

Statistiquement, depuis 2018, les violations de données proviennent en majorité d’un acte malveillant externe (environ 54 %) alors que 20% sont la suite d’un acte interne de nature accidentelle. Dans le détail, les principales origines d’une violation de données sont le piratage, un logiciel malveillant ou l’hameçonnage (48 % des cas). Il est aussi intéressant de relever que, dans 20 % des cas, la violation est due soit à une erreur dans le destinataire des données (la personne envoie ses données personnelles à une personne non autorisée), soit à une publication involontaire des données.

cyber

II – Quels sont les secteurs les plus concernés ?

Parmi les secteurs les plus touchés, figurent les organisations travaillant dans les activités spécialisées, scientifiques et techniques (17 %), suivies de celles agissant dans le secteur de la santé et de l’action sociale (13 %), puis les administrations publiques (13 %). Les banques et les assurances arrivent ensuite (11 %), et le secteur commercial (10 %).

Autre élément intéressant : l’ensemble de ces secteurs sont davantage frappés par des actes externes malveillants, à l’exception des activités financières et assurantielles qui sont tout autant impactées par les actes internes accidentels.

Que retenir ?

  • Les violations de données sont majoritairement liées à des attaques informatiques. Dès lors, la priorité doit être donnée à l’anticipation de la cyberattaque, que ce soit techniquement, ou de manière organisationnelle, en formant et en sensibilisant régulièrement les collaborateurs ;
  • les erreurs humaines en interne occupent une part non négligeable des atteintes à la sécurité et à la confidentialité des données. La divulgation non intentionnelle de données personnelles, la perte de documents ou d’équipements sont autant de sources de risques à anticiper. Les moyens affectés au contrôle et à la validation des opérations sont donc essentiels pour minimiser ces risques.

C’est pourquoi, la prévention et la gestion du risque « cyber » s’imposent à tout dirigeant pour préserver la compétitivité, si ce n’est la pérennité de son entreprise.

Pour l’accompagner, Fidal s’appuie sur un « écosystème » de professionnels qualifiés et reconnus. Le cabinet propose une offre de services sur-mesure avec notamment l’audit et la mise en conformité RGPD, la formation du personnel et des dirigeants, la coordination des intervenants (informaticiens, agence de communication, huissiers, experts, etc.), des actions en indemnisation devant les tribunaux.

[Prendre connaissance de la page Cybercriminalité]