Les entreprises sont de plus en plus nombreuses à craindre les conséquences financières d’une cyberattaque et tout particulièrement d’une compromission des données qu’elles détiennent. Mais qu’en est-il du volet judiciaire ? Les entreprises peuvent être tenues responsables si elles n’ont pas suffisamment sécurisé leurs données.
Une obligation de sécurité ancienne
« Cette obligation a été introduite dès la loi informatique et libertés, qui date de 1978, rappelle Florence Chafiol, avocate associée au sein du cabinet August Debouzy. Mais elle était peu connue jusqu’à l’entrée en vigueur en 2018 du Règlement général sur la protection des données. » Adopté à l’échelle européenne et transposé en droit français, il a considérablement enrichi la loi informatique et libertés. Il a ainsi imposé la création de l’article 121 qui stipule que « le responsable du traitement est tenu de prendre toutes précautions utiles (…) pour préserver la sécurité des données ». Nouveauté du RGPD, celui-ci fait autant peser la responsabilité de sécurité à tous les « mis en cause », c’est-à-dire à l’entreprise responsable du traitement mais aussi à ses éventuels sous-traitants. Optical Center en a fait les frais : en janvier 2019, l’opticien a été victime d’une cyberattaque, parce qu’un de ses sous-traitants avait mal sécurisé ses systèmes. Après la fuite des données de 200 000 clients – dont 23 000 numéros de sécurité sociale – Optical Center s’est vu infliger une amende de 250 000 euros, co-responsable de la fuite pour ne pas avoir régulièrement contrôlé son partenaire.
Les grandes entreprises voient s’ajouter une couche juridique supplémentaire avec la loi dite Vigilance, datant de 2017, qui leur est spécifique. Elle leur impose de se doter d’un plan de vigilance propre à « identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales ». Une formulation suffisamment large pour englober l’atteinte aux données personnelles, tranchent les avocats Géraldine Péronne et Emmanuel Daoud dans un article de la revue Dalloz dédiée aux nouvelles technologies.
Mais aux contours flous
Ces deux lois, ainsi que le RGPD, imposent donc aux entreprises de faire leur possible pour sécuriser au mieux les données qu’elles traitent… sans entrer dans les détails. « Chaque entreprise doit garantir un niveau de sécurité qui est laissé à sa libre appréciation », confirme Florence Chafiol. De quoi agacer l’avocat Jocelyn Ziegler, qui défend le recours collectif formé par 140 entreprises ayant subi un préjudice après l’incendie, au printemps 2021, de serveurs de l’hébergeur français OVH. « Est-ce qu’il existe une norme juridique précise ? Non. La sécurité des données relève des droits transversaux, comme ceux des contrats et de la propriété intellectuelle », regrette-t-il. Il plaide pour l’instauration de règles plus spécifiques.
Cette imprécision signifie que même si la responsabilité d’une entreprise est engagée en cas de violation de données, la sanction ne sera pas automatique. « Il faut que le niveau de sécurisation de l’entreprise soit manifestement insuffisant et cela reste à l’appréciation des institutions », souligne Florence Chafiol. Charge à l’entreprise fautive de démontrer qu’elle a mis en œuvre des moyens conséquents pour protéger les données mais que cela n’a pas suffi.
De lourdes peines
Pour inciter les entreprises à la prudence, les peines encourues en cas de sécurité indubitablement déficiente sont lourdes. « La responsabilité pénale de l’entreprise est engagée pour n’avoir pas respecté l’article 32 du RGPD« , plaide l’avocate. Devant le tribunal correctionnel, le chef d’entreprise risque 5 ans d’emprisonnement et sa société jusqu’à 300 000 euros d’amende. De son côté, la Cnil peut infliger une amende allant jusqu’à 4% du chiffre d’affaires mondial de l’entreprise fautive. Et ne s’en prive pas : fin décembre, elle a ainsi sanctionné la PME Slimpay d’une amende de 180 000 euros pour « avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d’une violation de données ». L’entreprise avait oublié de sécuriser un serveur et les données de 12 millions de personnes avaient été librement accessibles durant quatre ans.
Ajoutons enfin le risque que des clients ou des fournisseurs exigent une indemnisation pour non respect du contrat, la sécurisation des données étant aujourd’hui la contrepartie minimale qu’une entreprise doit offrir en échange de leur recueil. « Des personnes morales comme physiques peuvent réclamer une indemnité si la violation de leurs données a entraîné un préjudice de leur côté », atteste Florence Chafiol.
Des entreprises à la fois fautives et victimes
Dans le cas d’une cyberattaque où des données seraient compromises, les entreprises fautives de ne pas les avoir assez bien sécurisées risquent donc gros. Tout en étant elles-mêmes victimes… Pour autant, le droit les protège assez peu. « Certaines données, comme les comptes-rendus de conseil d’administration ou la comptabilité, sont protégées par le secret des affaires », rappelle Florence Chafiol. Mais cela ne concerne que les données stratégiques, qui représentent une petite partie des données traitées par les entreprises.
La violation de données personnelles relève également de la loi dite Sapin II, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique et entrée en vigueur en 2016. Son article6 protège ainsi les lanceurs d’alerte qui « révèle[nt] ou signale[nt] (…) un crime ou un délit ». « Or l’atteinte aux données personnelles peut constituer un délit sanctionné », rappellent les avocats Géraldine Péronne et Emmanuel Daoud. De quoi donner des sueurs froides aux entreprises qui verraient des failles de sécurité étalées au grand jour.