Votre prestataire IT de proximité

Certes, c’est un titre quelque peu racoleur. Il est malheureusement vrai. Quid de la responsabilité personnelle pour le dirigeant en cas de cyberattaque fructueuse ?
On vous répond.

Souvent fragiles financièrement, certaines petites entreprises victimes de cyberattaques se voient contraintes de cesser leur activité. De plus, la responsabilité juridique civile et pénale du dirigeant peut même parfois être engagée en cas de manquements à ses obligations de protection de ses systèmes informatiques et des informations à caractère personnel détenues par son entreprise.

cybermalveillance.gouv.fr

Les dirigeants d’entreprises (ici en France) sont continuellement sous pression, entre leur cœur d’activité, la croissance de sa structure, le management et l’ensemble de ses prérogatives auprès des organes étatiques. Dans les PME et encore plus dans les TPE, le dirigeant est au centre de toutes les activités. Structurellement, il ne bénéficie pas toujours de collaborateurs sur qui se reposer pour les différentes questions de fond. Il est donc sur-sollicité, et fait des choix de priorisations. Les questions liées à l’IT (l’informatique) en général, sont considérées comme immatérielles, demeurent secondaires.

En tant que personne physique (le ou les propriétaires physiques, donc les dirigeants) représentant une personne morale (l’entreprise), le dirigeant est responsable des activités de son entreprise. Il engage donc sa responsabilité personnelle et/ou civile

Responsabilité personnelle civile et/ou pénale du dirigeant :
jusqu’à 5 ans d’emprisonnement et 300.000 EUR d’amende en matière pénale.

Peuvent être reprochés au dirigeant :
Négligence et insuffisance de préparation de l’entreprise
Manquement à l’obligation d’assurer la sécurité des données
Défaut de notification de la violation de données aux autorités de contrôle et aux personnes concernées

Responsabilité légale

Protection des données

Selon le Règlement Général sur la Protection des Données (RGPD), toute entreprise doit protéger les données personnelles qu’elle traite. En cas de cyberattaque entraînant une violation de données, le chef d’entreprise est tenu de notifier cette violation à la CNIL (Commission Nationale de l’Informatique et des Libertés) dans les 72 heures après en avoir pris connaissance, ainsi qu’aux personnes concernées si la violation présente un risque élevé pour leurs droits et libertés.

Responsabilité civile

Si une cyberattaque entraîne des dommages pour des tiers (clients, partenaires, etc.), le chef d’entreprise pourrait être tenu responsable de ne pas avoir pris les mesures nécessaires pour protéger l’entreprise contre de telles attaques. Cela peut conduire à des actions en dommages et intérêts.

Responsabilité pénale

Dans certains cas, si la négligence du chef d’entreprise est établie (par exemple, non-respect des normes de sécurité informatique requises), il pourrait également être sujet à des sanctions pénales.

Responsabilité organisationnelle

Mise en place de mesures de sécurité

Il est attendu que le chef d’entreprise mette en place des mesures de sécurité adéquates pour protéger l’infrastructure informatique. Cela inclut la mise à jour régulière des systèmes, la formation des employés sur les risques de sécurité, l’installation de solutions de sécurité (antivirus, firewalls, etc.), et la réalisation d’audits de sécurité périodiques.

Plan de réponse aux incidents

Le chef d’entreprise doit par ailleurs, s’assurer de l’existence d’un plan de réponse aux incidents de sécurité informatique pour pouvoir réagir rapidement et efficacement en cas de cyberattaque.

Implications financières

Il est conseillé d’avoir une assurance contre les risques cyber qui peut couvrir certains des coûts associés à une cyberattaque, y compris les frais légaux, les coûts de récupération des données et les pertes d’exploitation.

Que demande concrètement la juridiction française ?

Le Règlement Général sur la Protection des Données (RGPD) – Règlement UE 2016/679

Article 32 : Obligation de sécurité des traitements. Cet article stipule que le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, incluant notamment la pseudonymisation et le chiffrement des données personnelles.

Article 33 : Notification d’une violation de données à caractère personnel à l’autorité de contrôle. Ce texte précise que, en cas de violation de données à caractère personnel, le responsable du traitement doit notifier cette violation à l’autorité de contrôle compétente (en France, la CNIL) dans les 72 heures après en avoir eu connaissance.

Article 34 : Communication de la violation de données à caractère personnel à la personne concernée. Cet article oblige le responsable du traitement à communiquer la violation de données à la personne concernée lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de cette personne.

Code pénal

Article 226-17 : Punit de trois ans d’emprisonnement et de 300 000 euros d’amende le fait, pour toute personne, de traiter des données à caractère personnel sans que le traitement n’ait reçu le consentement de la personne concernée ou ne réponde aux conditions de licéité requises.

Article 323-1 à 323-7 : Ces articles traitent des atteintes aux systèmes de traitement automatisé de données (cyberattaques telles que l’accès et le maintien frauduleux dans un système informatique, l’entrave ou le déréglage du fonctionnement de ce système, etc.). Ils prévoient également des peines pour ceux qui, ayant en charge un système de traitement automatisé de données, n’ont pas pris les mesures nécessaires pour sécuriser ce système.

Code du commerce

Article L. 123-22 : Cet article oblige toute entreprise à tenir une comptabilité régulière de leurs opérations qui doit refléter une image fidèle du patrimoine, de la situation financière et du résultat de l’entreprise. Cela inclut implicitement la gestion des risques informatiques qui peuvent affecter la continuité de l’exploitation.

L’avis d’un professionnel du droit est recommandé

Cet article ne se veut pas être une consultation juridique, nous vous conseillons de vous rapprocher de votre juriste et de votre assureur. Si vous n’en disposez pas, nous pouvons vous en recommander certains.

D’accord, mais que sont des “données à caractère personnel” ?

Très bonne question. Selon le Règlement Général sur la Protection des Données (RGPD), les données à caractère personnel sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, comme un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le RGPD impose que la collecte et le traitement de ces données soient effectués de manière transparente, sécurisée, et pour des finalités spécifiques et légitimes. Les individus concernés par la collecte de ces données ont également plusieurs droits, tels que le droit d’accès, de rectification, d’effacement et de s’opposer au traitement de leurs données.

Quelques exemples pour vous illustrer :

  1. Données d’identification : Noms, prénoms, adresses, numéros de téléphone, adresses e-mail, numéros de sécurité sociale, numéros de passeport, etc.
  2. Données biométriques : Empreintes digitales, rétine, ADN, etc., utilisées pour identifier de manière unique une personne.
  3. Données géographiques : Informations de localisation, telles que celles collectées par les applications GPS ou lors de l’utilisation de services en ligne.
  4. Données financières : Numéros de compte bancaire, transactions, historique de crédit, etc.
  5. Données sur la santé : Informations médicales, historique des consultations, diagnostics, prescriptions, etc.
  6. Données sur Internet : Adresses IP, cookies, historique de navigation, interactions sur les réseaux sociaux, etc.
  7. Données sociodémographiques : Âge, sexe, situation familiale, éducation, profession, revenu, etc.

Si vous disposez de ces typologies d’informations dans votre patrimoine numérique (ce qui est le cas de la quasi-totalité des TPE/PME/ETI/GE/TGE/Administrations), vous êtes concerné par le RGPD !

Je comprends, mais comment je peux savoir si des données ont fuité ?

Il existe certains signes manifestes d’une cyberattaque, vous pouvez consulter notre guide en cas de cyberattaque ainsi que notre article sur les typologies de menaces qui pèsent sur votre patrimoine numérique.

Cela dit, certaines fuites sont plus subtiles. Sans solution proactive d’analyse, il n’est pas possible de savoir si vos données sont aspirées ! C’est pour cela que nous militons pour évangéliser la proactivité avec des outils adaptés et automatisés pour analyser et réagir en cas de menace ! Notre solution DATIGARD OPTIMIZE est la solution adaptée pour surveiller pour vous et bloquer en cas de danger. Sans mise en place de certains de ces outils, votre responsabilité en tant que dirigeant peut être engagée.

En sur le terrain ça donne quoi ?

Les textes de lois ci-dessus sont clairs sur les éventuelles poursuites pénales encourues par le dirigeant pour son éventuelle négligence et/ou manquement.

Dans les faits, les différents organismes gouvernementaux français orientent des mesures de cybersécurité renforcées et des efforts pour lutter contre les cyberattaques au niveau national et européen. Il semble que l’accent soit mis sur la prévention, la protection et la répression des cybercrimes au niveau des groupes organisés plutôt que sur des poursuites pénales contre des dirigeants d’entreprises individuelles.

Les sanctions concernant une violation du RGPD (par la Commission Nationale de l’Informatique et des Libertés) portent sur des GE et TGE qui ont été (volontairement ?) négligeantes. Par exemple :

Free Mobile : En 2021, Free Mobile a été condamné à une amende de 300 000 euros par la CNIL pour plusieurs manquements au RGPD, notamment des problèmes liés à la gestion des demandes de droits des personnes et à la sécurité des données, comme la transmission des mots de passe en clair par courriel​.

AG2R La Mondiale : Cette entreprise a été condamnée à payer 1,75 million d’euros pour avoir conservé les données personnelles de ses clients et prospects plus longtemps que ce qui est autorisé par le RGPD. Les violations comprenaient également des manquements en matière d’information lors d’opérations de démarchage téléphonique.

Carrefour France et Carrefour Banque : Ces deux entités du groupe Carrefour ont été sanctionnées pour des violations multiples du RGPD, notamment en ce qui concerne l’information délivrée aux personnes et le respect de leurs droits. Carrefour France a reçu une amende de 2,25 millions d’euros, tandis que Carrefour Banque a été condamnée à une amende de 800 000 euros. Ces sanctions étaient également liées à la gestion des cookies et à la conservation excessive des données​.

Source : Deepo

Alors pourquoi tout ce bruit ?

Bien que lourde en administratif, l’objectif de la RGPD à le mérite de sensibiliser sur l’importance de la protection des informations dites personnelles dans l’univers cyber (elle mériterait d’être édulcorée pour les TPE). Comme immatériel, le risque est souvent sous estimé. La RGPD vient également dissuader d’utiliser les données à mauvais escient.
Finalement, laisseriez vous à la portée de n’importe qui, ces mêmes données au format papier (tout comme vos documents bancaires, comptables, fichiers clients, etc.) ? Nous connaissons tous la réponse.

Nous pensons que comme toute réglementation, si elle ne s’ensuit pas de répression, elle n’est pas prise au sérieux.

Il faut être conscient, que le traumatisme d’une cyberattaque est bien suffisant en conséquences : “Une cyberattaque peut engendrer une surcharge exceptionnelle d’activité et un sentiment de sidération, d’humiliation, d’incompétence, voire de culpabilité susceptible d’entacher l’efficacité de vos équipes durant la crise et même au-delà.” source cybermalveillance

Hiscox, indique d’ailleurs que 80% des entreprises victimes d’une cyberattaque déposent le bilan dans les 12 mois. Source.

Le mot de la fin

D’abord, félicitations si vous êtes arrivé jusqu’ici. Ce n’est pas un sujet facile, presque tabou. Pour les petites structures, la route est longue pour la sensibilisation. La faute n’incombe pas qu’au dirigeant.
C’est une nouvelle composante à intégrer dans une entreprise qui a déjà tellement d’obligations. La route de l’évangélisation est encore longue.
Plutôt que partir en croisade, nous préférons partir en croisière avec vous sur ce sujet (et ceux du numérique en règle générale) en prennant la responsabilité d’être une force de conseil, d’être votre partenaire de long terme. Il est préférable d’être proactif sur cette thématique plutot qu’intervenir en curatif, nous vous assurons que c’est un très mauvais moment à passer, alors qu’en préventif, le sujet est plus intéressant. Nous sommes à votre disposition pour en discuter.