De récents événements ont démontré que les entreprises doivent désormais se préoccuper des questions de cybersécurité et de protection des données ainsi que de leurs conséquences sur leurs activités en cas d'incidents :
Dans cette article, nous insistons plus particulièrement sur :
• les différentes responsabilités (civile et pénale) auxquelles les entreprises peuvent être confrontées en cas d'infraction à la sécurité de leurs systèmes de protection des données ;
• les mesures qui peuvent ou qui devraient être adoptées pour éviter ou limiter l'impact de tels événements (au niveau financier ou opérationnel);
• les différences entre les types de couverture d'assurance classiques et leurs nouvelles déclinaisons, davantage axées sur les risques inhérents à l'environnement numérique.
Suite au récent lancement par l'armée belge de sa propre ‘unité de cyber-sécurité', destinée à défendre la nation contre les cyber-attaques et à réagir efficacement à celles-ci, ainsi qu'au vu du nombre grandissant d'entreprises (aussi bien les multinationales que les PME) devenues cibles de telles attaques (par exemple, le bug Heartbleed), la cyber-sécurité et la protection des données sont devenues une priorité absolue. Il n'est dès lors pas surprenant que de nombreuses entreprises aient déjà mis sur pied des forces opérationnelles de cyber-sécurité.
Dans ce contexte, identifier les risques auxquels votre entreprise fait face, aussi bien d'un point de vue technique que légal, et prendre des mesures (techniques, organisationnelles et légales/contractuelles) appropriées pour atténuer ces risques, peut s'avérer essentiel pour éviter des problèmes de responsabilité considérables et un dommage irréparable aux activités de votre entreprise et à sa réputation. En cas d'incident, avoir déjà souscrit à des polices d'assurance appropriées a sans nul doute un impact important sur les conséquences financières relatives à vos activités. De nombreuses polices d'assurance traditionnelles n'offrent toutefois pas une protection adéquate dans le cadre de
problèmes de cyber-sécurité. Il n'est donc pas dénué d'intérêt d'examiner plus attentivement les conditions (lisez: exclusions) des polices d'assurance actuelles de votre entreprise, afin de vérifier si vous êtes suffisamment protégés
pour ces types de risques ‘numériques'.
Quelles sont les obligations légales des entreprises en matière de cyber-sécurité et de protection des données?
Qu'une entreprise traite des données à caractère personnel (à savoir toutes les données relatives à une personne physique identifiée ou identifiable) en tant que responsable du traitement ou data controller (déterminant elle-même les
moyens et les finalités de ce traitement de données) ou en tant que sous-traitant ou data processor (traitant les données à caractère personnel pour le compte de ou sur les instructions d'une autre entreprise), elle est soumise à certaines obligations. Au sein de l'Union européenne, ces obligations sont largement harmonisées en vertu de la Directive 95/46/ CE sur la protection des données, mise en oeuvre par la loi belge du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (‘Loi vie privée').
Ces obligations ne s'appliquent pas seulement aux entreprises qui fournissent des services B2C, mais à toute entreprise qui traite des données à caractère personnel à savoir, par exemple, le traitement d'adresses IP, les données d'employés ou les coordonnées de personnes de contact, l'utilisation de caméras de surveillance, ou le traitement de données à caractère personnel en vertu d'un contrat commercial ou de collaboration.
Tous les sous-traitants sont obligés de garantir la sécurité et la confidentialité des données à caractère personnel traitées par eux, en adoptant des mesures organisationnelles et techniques adéquates pour protéger ces données
à caractère personnel d'une destruction accidentelle ou non-autorisée, d'une perte accidentelle, ainsi que de toute altération, tout accès ou autre traitement non-autorisé.
Les entreprises qui agissent en tant que responsables du traitement doivent se conformer à des exigences supplémentaires (obligations d'information, exigences relatives au consentement, avis publics, etc.), en ce compris certaines obligations en matière de sécurité. Les responsables du traitement doivent plus précisément choisir un soustraitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives
au traitement prévu et veiller au respect de ces mesures, notamment par le biais de stipulations contractuelles. La Commission de la protection de la vie privée belge a en particulier souligné l'importance de procéder à des évaluations
des risques et d'adopter des mesures de sécurité appropriées qui soient bien documentées, mises en oeuvre et mises à jour régulièrement. Les responsables du traitement doivent par ailleurs sécuriser leurs serveurs et disposer de systèmes d'alarme adéquats en cas de fuite de données ainsi que de procédures de notification établies au préalable, au cas où la sécurité des données à caractère personnel devait être mise en péril.
En outre, en tant que partie intégrante de l'obligation de sécurité générale de tout responsable du traitement, à chaque fois qu'un responsable du traitement prend connaissance d'un incident au cours duquel des données sont perdues,
détruites, altérées ou dévoilées d'une manière telle qu'il est probable qu'elles deviennent connues du public ou des autorités (par exemple via les medias, internet ou des plaintes), les autorités compétentes doivent en être informées
endéans les 48 heures, et des informations adéquates doivent être données au public endéans les 24 à 48 heures, au plus tard, après la notification faite aux autorités. Des obligations encore plus strictes s'appliquent aux fournisseurs de services financiers et aux fournisseurs de réseaux de communications électroniques.
Quels sont les risques auxquels une entreprise pourrait faire face en cas de fuite de données ou d'autre incident de cyber-sécurité?
Quand une fuite de données a lieu et qu'il apparait que les mesures prises pour protéger l'entreprise d'un telle fuite n'étaient pas suffisantes, l'entreprise agissant en tant que responsable du traitement sera, conformément à la loi vie
privée belge, entièrement tenue responsable. Cette entreprise peut non seulement faire l'objet d'actions civiles de particuliers dont les données ont été exposées, mais peut également encourir de sérieuses sanctions pénales.
Premièrement, les responsables du traitement peuvent engager leur responsabilité civile pour tout dommage résultant de violations des dispositions de la loi vie privée belge. Quand la base de données ou les mesures de sécurité d'une
entreprise ont été compromises et que des données à caractère personnel (en ce compris, notamment, des informations personnelles sur la santé ou des informations relatives à des cartes bancaires) sont illégalement diffusées, toute
personne tierce (en particulier les personnes concernées) peut demander à l'entreprise d'être indemnisée pour le dommage (financier, moral ou relatif à la réputation) subi par elle en suite de la fuite de données. Dans ce cas de figure,
les règles générales de responsabilité civile pour faute/négligence s'appliqueront.
Deuxièmement, la Commission de la protection de la vie privée belge est habilitée à mener des enquêtes relatives au respect, par les entreprises, de la loi vie privée belge. Au vu de la tendance européenne générale pour un renforcement du respect des règles en matière de protection des données, on peut s'attendre à des enquêtes ciblées (spécifiques à chaque secteur). Un contrôle plus attentif et une exécution administrative renforcée peuvent être particulièrement attendus en matière de traitement de données à caractère personnel ‘sensibles' (telles que les données relatives à la santé).
Enfin, la loi vie privée belge prévoit des sanctions pénales en cas de non-respect d'un certain nombre de ses dispositions (en ce compris l'obligation de sécurité générale). Toute violation peut conduire à des amendes pénales de
600 EUR à 600,000 EUR (qui ne sont pas couvertes par les polices d'assurance).
Par ailleurs, le tribunal peut (i) ordonner la publication de son jugement, intégralement ou par extraits, dans un ou plusieurs journaux, (ii) ordonner la confiscation des supports matériels des données à caractère personnel formant
l'objet de l'infraction, ou (iii) interdire de gérer, personnellement ou par personne interposée, et pour deux ans au maximum, tout traitement de données à caractère personnel.
De plus, conformément au projet de nouveau Règlement général de l'Union européenne sur la protection des données (qui devrait être adopté fin 2015), les peines seront radicalement augmentées, avec des amendes pouvant atteindre le montant de 100,000,000 EUR ou 5% du chiffre d'affaires annuel global réalisé par l'entreprise, et il est en effet attendu de la part des autorités de protection des données qu'elles surveillent activement et poursuivent les infractions.
Comment une entreprise peut-elle être protégée contre les conséquences de ces risques?
Mener proactivement des évaluations de risques de sécurité des données et des audits de conformité légale permet d'éviter, ou à tout le moins d'atténuer le risque de graves problèmes de responsabilité. Ces responsabilités engendrent
généralement des dommages immatériels / intangibles auxquels il est difficile de remédier une fois que celui-ci a eu lieu.
Il est dès lors à tout le moins aussi important pour les entreprises de souscrire à des polices d'assurances adéquates afin de contrer les conséquences financières de tout incident de cyber-sécurité.
Toutefois, les polices d'assurance traditionnelles ne sont en général pas suffisantes pour couvrir les responsabilités et pertes des entreprises encourues en suite d'une fuite de donnée ou d'un autre incident de cyber-sécurité.
Les assurances de dommages ne couvrent traditionnellement que les dommages matériels de l'entreprise (par exemple, le dommage causé au(x) bâtiment(s) de l'entreprise, aux machines, etc.). Le dommage causé aux logiciels, aux bases de données et aux appareils électroniques est souvent expressément exclu. Dans la plupart des assurances de dommages, tout dommage immatériel ainsi que le dommage causé par un virus informatique, la perte de données ou la manipulation (acte de piratage) est également exclu de la protection. La perte de profit ou de réputation de l'entreprise résultant de cyber-attaques ou de fuites de données ne sera de ce fait pas couverte.
Les assurances en responsabilité civile, qui couvrent la responsabilité extracontractuelle d'une entreprise contre les tiers, ne sont également pas correctement adaptées aux problèmes de cyber-sécurité. Bien qu'elles couvrent les
dommages immatériels subis par des tiers en suite d'un incident de cyber-sécurité (par exemple une perte de profits, de clients ou de réputation), la police est en général limitée aux dommages immatériels qui dérivent directement d'un
dommage matériel (par exemple, des marchandises endommagées ou détruites).
En cas de fuites de données ou d'incidents de cyber-sécurité, les parties lésées ne subissent en général pas de dommage matériel au sens classique du terme, sauf si leurs propres systèmes (électroniques) et/ou dispositifs
sont endommagés. Ceci explique pourquoi la responsabilité d'une entreprise à cet égard n'est la plupart du temps pas couverte par une assurance en responsabilité civile. En outre, les assurances en responsabilité civile excluent
expressément souvent le dommage causé aux tiers par l'information électronique, les dispositifs et/ou la communication de l'entreprise ou causé par un virus informatique ou un acte de piratage.
Les assurances tous risques (du matériel) informatique sont des assurances de dommages qui couvrent les dommages causés au matériel informatique et aux dispositifs assurés. La perte de profit et de réputation ainsi que les autres
dommages intangibles d'une entreprise ne sont en général pas couverts. De plus, ces polices excluent souvent les virus informatiques et l'erreur humaine, cette dernière étant l'une des principales causes d'incidents de cyber-sécurité et de pertes de données.
En réponse aux problèmes de couverture susmentionnés, les assureurs ont développés de nouveaux produits sophistiqués, communément appelés assurances contre les risques cybernétiques. Ces assurances sont souvent faites sur mesure, au regard des risques cybernétiques spécifiques auxquels les entreprises sont exposées. En Belgique, les assurances contre les risques cybernétiques ne sont pas des produits légalement réglementés. Les dispositions générales relatives aux assurances de responsabilité et de dommages, conformément à la loi relative aux assurances du 4 avril 2014, sont donc d'application.
Premièrement, ces assurances contre les risques cybernétiques couvrent la responsabilité civile de l'entreprise résultant d'une atteinte à la vie privée due à un vol de données, à la transmission d'un virus, d'une faille dans la sécurité qui rend des systèmes de réseaux inaccessibles aux tiers (en ce compris les conséquences financières y liées pour ces tiers), d'une violation de droits de propriété intellectuelle, des activités liées aux médias de l'entreprise, etc.
Par ailleurs, les polices d'assurance responsabilité des administrateurs et des dirigeants existantes ("D&O policies") pourraient être étendues aux responsabilités engendrées par des risques cybernétiques. S'il apparait que la direction
d'une entreprise n'a pas pris les mesures appropriées pour sécuriser ses bases de données, les tiers pourraient la tenir responsable de ceci en cas de fuite ou de perte de données.
Deuxièmement, les assurances cyber-risques couvrent également les pertes que les entreprises pourraient subir en suite de fuites de données ou d'incidents de cyber-sécurité. De multiples couvertures sont envisageables: perte de
profit, perte de données, interruption d'activités, frais de réparation et de surveillance du réseau de l'entreprise, etc.
Il est même possible d'assurer la gestion de crise cybernétique (à savoir, les frais nécessaires pour recourir à l'assistance de spécialistes en relations publiques ou les frais de publicité requis pour rétablir la réputation de
l'entreprise après l'incident), la présence d'une entreprise sur les réseaux sociaux (à savoir une police unique pour couvrir la responsabilité relative aux réseaux sociaux), et le cloud computing (c'est à dire une couverture spécifique pour les fournisseurs de cloud et pour les entreprises qui y font appel, en cas de perte, vol et responsabilité pour les données stockées dans le cloud).
Conclusion
Il existe de multiples responsabilités (civiles et pénales) liées à la responsabilité d'une entreprise en tant que ‘soustraitant' ou ‘responsable' du traitement de données à caractère personnel. Comme les récents exemples de cyberattaques et de pertes de données l'ont montré, les risques de cyber-sécurité auxquels une entreprise peut être exposée, ne devraient pas être sous-estimés et ne cessent de s'accroitre. Les entreprises qui souhaitent réduire ces risques autant que possible, doivent être bien préparées et entreprendre des actions à deux niveaux différents.
D'une part, les entreprises devraient adopter des mesures adéquates pour empêcher des incidents de cyber-sécurité de se produire, à savoir des évaluations de risques, d'un point de vue autant technique que légal, et des audits de
conformité légale en matière de protection des données. D'autre part, il est conseillé aux entreprises de s'assurer correctement contre les divers risques ‘numériques' auxquels elles font face. Dans la mesure où ces risques ne sont pas
souvent couverts par les polices d'assurance traditionnelles, ou même expressément exclus de celles-ci, une vérification adéquate des polices d'assurance existantes ou futures de l'entreprise, et, le cas échéant, une renégociation de ces
polices, pourraient éviter de mauvaises surprises en cas de fuite de données ou de cyber-attaque.
Les équipes de protection des données et de droit des assurances de Loyens & Loeff sont à votre disposition pour vous conseiller et vous fournir assistance à chacun de ces deux niveaux. Vous pouvez bien évidemment également contacter
votre propre personne de contact chez Loyens & Loeff si vous souhaitez une assistance additionnelle ou un service sur mesure.