C’est un fait, le piratage des données et la fraude informatique sont en constante évolution. Le nombre d’atteintes liées au piratage informatique a défrayé la chronique ces dernières années ayant parfois des conséquences désastreuses pour les entreprises, tant au niveau financier qu’en terme de réputation.

A titre d’exemple, en mai 2014 le site eBay a connu le pillage des données personnelles de plus de 233 millions de clients. Plus récemment, TF1 s’est fait pirater près de 2 millions de données concernant ses abonnés.

Les cyber-menaces sont capables d’infecter un vaste public silencieusement et efficacement, quelque soit le secteur d’activité, la taille de l’entreprise ou le pays.

Pourtant, la loi Informatique et Libertés impose aux sociétés effectuant des traitement de données personnelles de « préserver la sécurité des données et notamment d’empêcher qu’elles soient déformées endommagées ou que des tiers non autorisés y aient accès » (cf. article 34) sous peine d’une peine de 5 ans d’emprisonnement et 300.000 euros d’amende (1.500.000 euros pour les personnes morales). Cette condamnation peut être, en plus, augmentée des dommages intérêts à verser aux victimes dont les données ont été divulguées (ce qui peut concerner l’ensemble des personnes concernées par le piratage, la France autorisant depuis peu les actions de groupe) et est d’autant plus importante que les compagnies d’assurances refusent de plus en plus de prendre en compte le risque lié aux cyber-attaques dans leurs polices de responsabilité civile.

Face à l’ingéniosité des pirates et l’obsolescence perpétuelle des mesures techniques de protection, comment respecter l’obligation de sécurité des données et éviter la condamnation ?

Il convient de constater que l’obligation imposée par la loi Informatique et Libertés est une obligation de moyen (obligation de prendre toutes les « précautions utiles »). Cela signifie que le responsable de traitement doit mettre en place les moyens techniques et organisationnels adaptés pour garantir la sécurité, l’intégrité et la confidentialité des données et sera exonéré dès lors qu’il aura mis ces moyens en place.

Malheureusement, il n’existe pas de liste énumérant les mesures techniques à mettre en place en cas de traitement de telles ou telles données à caractère personnelle. Considérant la rapidité avec laquelle évoluent les technologies, la pertinence d’une telle liste serait en toute hypothèse réduite à néant.

En conséquence, afin d’échapper à toute éventuelle condamnation le responsable de traitement devra :

• se tenir constamment informé des nouvelles technologies et mesures techniques susceptibles de lutter contre le piratage ;
• mettre en œuvre ces mesures techniques si elles sont adaptées au traitement effectué ;
• suivre les recommandations de la CNIL relatives à la sécurité ;
• sensibiliser, à tous les nivaux de l’entreprise, aux problématiques liées à la protection des données à caractère personnel (56 % des entreprises françaises victimes de fraudes indiquent qu’elles ont été commises par un fraudeur interne) ; et
• surveiller les agissements des employés (dans le respect de droit au respect à la vie privé).

Attention, il convient de constater que même si le responsable de traitement met en place les mesures internes précitées, il pourra être retenu responsable du pillage des données gérées par son sous-traitant (hébergeur par exemple).

Dès lors, afin de limiter la condamnation à laquelle pourrait donner lieu le piratage des données confiées au sous-traitant, il est primordial d’imposer contractuellement à ce dernier des obligations de sécurité drastiques au moins équivalentes à celles prisent en interne par le responsable de traitement.

Une grande majorité des sous-traitants étant basés à l’étranger ou ayant recours à des contrats d’adhésion, cette démarche peut s’avérer délicate mais demeure impérativement nécessaire.