29 mars 2018

Brève - Actualités - CYBERSECURITE - Transposition de la Directive Européenne 2016/1148 "Network Information Security" (NIS)


La loi transposant en France la Directive européenne « Network Information Security » (NIS) de 2016 a été promulguée le 26 février 2018, devançant de quelques semaines la date butoir fixée au 9 mai. C’est une pièce maîtresse dans l’arsenal destiné à prévenir et limiter les effets de cyber-attaques pouvant toucher des secteurs clés de la société civile et de l’économie. Elle accroît les obligations et risques de certaines entreprises en matière de cyber-sécurité.

Jusqu’à présent, seule une catégorie limitée d’acteurs qualifiés d’« opérateurs d’importance vitale » (OIV) par la loi de programmation militaire de 2013 étaient soumis à des obligations très strictes en matière de cyber-sécurité. Eu égard à l’importance des enjeux et à la multiplication des attaques touchant d’autres secteurs d’activités tenus pour stratégiques (énergie, transport, banques et marchés financiers, santé, eau, infrastructures numériques…), la Directive étend certaines obligations à d’autres entreprises, qualifiées d’« opérateurs de services essentiels » (OSE), bien plus importantes en nombre.

La France a jusqu’au 9 novembre 2018 pour déterminer la liste des OSE affectés par les nouvelles règles de sécurité informatique, précisées et appliquées sous l’impulsion et le contrôle de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), laquelle disposera d’un pouvoir d’audit et de sanctions. Ces OSE auront par exemple pour obligations de : (i) mettre en œuvre les nouveaux dispositifs adoptés, (ii) notifier à l’autorité administrative tout incident de sécurité et (iii) se soumettre, à leurs frais, aux contrôles imposés. En outre, bien que plus légères que celles pesant sur ces OSE, la loi renforce les obligations des « fournisseurs de services numériques » (FSN), à savoir : les places de marché en ligne, moteurs de recherche ou fournisseurs de services « cloud » actifs au sein de l’Union européenne. Ils devront aussi notifier les incidents de sécurité et encourent des sanctions financières en cas de manquement.

En cas de non-respect de ces obligations ou d’entrave au contrôle, les entreprises encourront des sanctions allant de 75.000 à 125.000 €. Sans parler des risques liés à la publication des atteintes à la sécurité qui pourra être décidée par l’ANSSI et à la pratique en vogue sur les réseaux sociaux du « name and shame » contre les firmes impliquées. Enfin, nous rappellerons que 77% des attaques des hackers sont dirigées contre des PME. Aucune entreprise n’est à l’abri du risque !

12 mars 2018

Newsletter - Le Réglement "RGPD" en 80 Jours

Se mettre en conformité d’ici le 25 mai prochain avec le Règlement Général sur la Protection des Données (RGPD) est encore possible !
Accroissement des droits des personnes protégées. Le RGPD apporte des nouveautés importantes et approfondit bon nombre de droits des personnes concernées, tels que le droit à la portabilité des données personnelles, le « droit à l’oubli » ou le droit de ne pas faire l’objet de profilages, et accroît les obligations de sécurité et d’information du responsable du traitement et de son (ou ses) sous-traitant(s).
Data Protection Officer et responsabilités accrues du responsable du traitement. Le règlement européen modifie les relations entre responsable du traitement et sous-traitant et transforme le correspondant informatique et libertés (CIL) en « délégué à la protection des données » (DPO ou « Data Protection Officer »). La contrepartie de l’allégement des formalités administratives, c’est un poids accru de ce DPO mais aussi de nouvelles responsabilités mises à la charge du responsable du traitement (ex : étude d’impact sur la vie privée et notification des failles de sécurité aux personnes concernées et aux autorités de contrôle).
Analyse d’impact. C’est une dernière nouveauté. « L’analyse d’impact » évalue la nécessité et l’absence du caractère excessif des traitements de données par rapport à leur finalité. Toutefois, seuls les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » l’exigeront.
Accroissement des sanctions et des risques liés aux contrôles. Enfin, de nouvelles amendes administratives et sanctions (notamment financières) voient le jour en cas de violation. L’importance des contrôles a posteriori des autorités nationales (en France, par la CNIL) se voit également renforcée par la disparition des déclarations préalables.
Rappelons aussi que toute violation du RGPD par le responsable du traitement ou son sous-traitant est susceptible de conduire à la réparation intégrale du préjudice subi par les personnes affectées. Ainsi, eu égard aux standards actuels, le niveau de protection des personnes et les risques liés à la gestion de données sont accrus.
Quelles solutions ? Quelle stratégie ? Que faire ? Il vous faut agir, et commencer par identifier les besoins de votre structure et vous poser les bonnes questions. Faut-il par exemple adapter vos conditions générales de vente B2C ? Modifier vos contrats de sous-traitance portant sur la gestion de données ? Changer vos pratiques internes et mettre en place de nouvelles procédures ? Etc. Le nombre de questions et de changements à apporter dépendent de votre entreprise.
Illustrons notre propos par un exemple concret. La vérification et l’encadrement des engagements de vos prestataires (« sous-traitants ») sont d’autant plus indispensables qu’ils participent pleinement de la mise en conformité de votre entreprise (en qualité de « responsable du traitement ») avec les exigences nouvelles du RGPD. Eu égard aux obligations nouvelles des sous-traitants, le contrat de sous-traitance devra désormais prévoir notamment les éléments suivants :
·         la ou les finalités du traitement (à ce jour, seule la nature des prestations confiées au sous-traitant y figure) ;
·         la nature des données traitées par le sous-traitant ;
·         le type de personnes concernées par la collecte et le ou les traitements ;
·         le sort des données gérées à l’expiration du contrat ;
·         les engagements pris par le sous-traitant en termes de traitement et de sécurité des données (le responsable du traitement est plus que jamais tenu de les définir) ;
·         les mesures garantissant la protection des données personnelles dès l’origine des projets de traitement, dite aussi privacy by design (principe complété par celui de security by default qui veut dire que, par défaut, seules pourront être collectées les données nécessaires pour assurer la finalité de chaque traitement envisagé) ;
·         l’obligation de créer et tenir à jour une documentation concernant les mesures (techniques et organisationnelles) destinées à sécuriser les données personnelles ;
·         la définition de la collaboration entre les parties, notamment pour la mise en œuvre des droits des personnes concernées et pour régir les relations des parties au contrat de sous-traitance avec les autorités de contrôle ;
·         les mesures d’urgence à adopter par les parties en cas de fuite de données…

Cet exemple n’est qu’un cas concret parmi d’autres à traiter en vue de la mise en conformité de votre entreprise avec le RGPD dans les douze semaines qui vous séparent de son entrée en vigueur ! Le plus important est de lancer ce chantier si cela n’est pas encore fait.

L’équipe d’avocats spécialisés de KOBALT se tient à votre disposition pour vous aider à redéfinir votre stratégie de protection des données traitées et vous assurer de la mise en conformité de votre entreprise.