Archives pour la catégorie cyber risque

Cyber risque : les vraies sanctions de la CNIL pour une entreprise ne sont pas financières

CNIL : Commission Nationale Informatique et Libertés
La Commission Nationale Informatique et Libertés – CNIL -, est l’autorité administrative indépendante qui contrôle le respect de la Loi Informatique et Libertés du Loi 78-17 du 6 janvier 1978. Ses agents ont la charge de réguler, contrôler et sanctionner le non-respect de la Loi Informatique et Libertés. Voici les conseils d’un courtier grossiste en assurance pour les entreprises.

Quelles missions la CNIL a-t-elle en charge ?

La CNIL surveille et fait le recensement des fichiers contenant des données personnelles. Elle donne également son autorisation pour les traitements de données les plus sensibles, avant leur mise en place.

Les chiffres-clés de la CNIL en 2013 :

6 000 plaintes | 450 contrôles | 50 mises en demeure |
20 sanctions


Comment la CNIL contrôle-t-elle les entreprises ?

  • 40% des contrôles sont inopinés
    Ils correspondent à un programme annuel selon une thématique ou des secteurs d’activité définis à l’avance. Par exemple, on vise le marketing direct ou la vidéo surveillance. A tout moment, les agents de la CNIL peuvent donc venir chez vous, sans rendez-vous, pour exercer un contrôle, sans même qu’une plainte vous concernant n’ait été reçue.
  • 30% des contrôles sont issus de plaintes reçues par la CNIL
    En 2013 31% de ces plaintes étaient relatives au secteur internet et télécom, 15% relatives à des données de ressources humaines.
  • 30% des autres contrôles sont liés à la vidéo protection (secteur public) et vidéo surveillance (secteur privé) dont la CNIL est aussi responsable.

Quel risque pour l’entreprise contrôlée ?

Suite à un contrôle, vous recevez un rapport d’audit et une mise en demeure relative aux violations constatées.

1. Vous avez un délai de 3 mois maximum pour vous mettre en conformité.

Difficile de tenir un tel délai pour une entreprise, car bien souvent, les modifications de son système informatique et de son organisation sont nécessaires.

2. Passé ce délai, la CNIL peut prendre des sanctions financières.

Aujourd’hui, elles sont trop limitées et non-dissuasives avec un maximum de 150 000 € en première condamnation et 300 000 € en cas de récidive pour les grandes entreprises, mais pas les PME…  Le nouveau règlement européen va muscler ces sanctions qui pourront aller jusqu’à 5% du chiffre d’affaires d’une société ( !).

3. L’obligation de rendre public la mise en demeure de la CNIL

Le vrai pouvoir de sanction est là. Et il s’avère bien plus nuisible à l’entreprise qu’une simple sanction financière. La CNIL oblige de plus en plus à rendre publiques ses mises en demeure, à effet immédiat. Dans ce cas-là, tous les clients, fournisseurs et concurrents de la société sont informés des dysfonctionnements et infractions constatés sur le traitement des données personnelles.

L’impact que cela entraîne sur la réputation de la société et, par conséquent sur son activité, est bien plus important que celui d’une amende.

Google affiche la sanction CNIL sur sa home page

4. Deux exemples de sanctions tirés de l’actualité : Google et Acadomia.

  • L’amende record que la CNIL a infligée à Google (150 000€) est révélatrice. Si la sanction financière parait dérisoire comparée aux moyens financiers du géant américain, l’obligation de la notifier sur sa home page pendant 48h devrait lui coûter beaucoup plus en terme d’image.

Quelle protection pour l’entreprise ?

La meilleure protection est la combinaison d’un plan de gestion des risques qui passe par :

  • un audit que la CNIL peut faire sur demande
  • la souscription d’une assurance cyber risque : l’assureur sera alors à même de défendre une entreprise en cas de mise en cause suite à la perte ou le vol de ses données lors d’une attaque informatique. Et surtout, l’assureur du cyber risque couvrira les frais engagés pour informer de l’attaque les clients et fournisseurs,  et gérer la crise pour limiter l’impact sur sa réputation et son chiffre d’affaires.

——————————————————

Voir notre fiche Assurance Cyber-CriminalitéDemandez un code courtier pour devenir partenaire d'Add Value