Réglementation
Maître Garance Mathias, avocat fondateur chez Mathias Avocats, dresse la liste, bien sûr non exhaustive, des obligations légales en matière de cybersécurité.
Et elles sont nombreuses !
Quel que soit le secteur d’activité dans lequel elle évolue, une entreprise publique ou privée est soumise à des règles définies par le législateur national ou européen ainsi que par le pouvoir réglementaire. Ces règles émanent également de l’autorité compétente pour accompagner les entreprises notamment par des actions d’information, de conseil, de sensibilisation et de formation mais aussi de contrôle de l’application des textes, à l’instar de la Commission nationale de l’informatique et des libertés (Cnil) ou de l’Agence nationale de la sécurité des systèmes d’information (Anssi). L’ensemble de ces réglementations a pour point commun d’exiger de l’entreprise qu’elle définisse, mette en place et maintienne des mesures organisationnelles, juridiques et techniques appropriées en fonction de l’état de l’art.
In fine, ces mesures permettront aussi à l’entreprise de constituer, de préserver et de sauvegarder des preuves recevables devant les autorités compétentes afin de défendre leurs droits.
Voici, de manière non exhaustive, les différentes réglementations que l’entreprise doit prendre en compte dans le cadre de son fonctionnement quotidien, tant en interne qu’en externe.
La protection des données à caractère personnel
Tout d’abord, l’entreprise est soumise à une obligation de protéger les données à caractère personnel conformément à la loi « Informatique et Libertés ». Compte tenu de l’application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, les entreprises doivent d’ores et déjà anticiper la mise en place d’une gouvernance de la conformité, laquelle pourra être pilotée par le délégué à la protection des données (DPO) désigné. L’objectif étant que l’entreprise soit en mesure de démontrer la conformité des traitements qu’elle met en œuvre au RGPD. Dans ce contexte, toute entreprise va devoir cartographier ses traitements, localiser les lieux de stockage des données (lieux d’implantation des serveurs et backup), identifier les flux de données (le cas échéant en distinguant les flux intra-groupe et extra-groupe). En cas de recours à un prestataire, le contrat est un outil indispensable. Celui-ci doit encadrer les mesures de sécurité mises en place, les modalités de gestion des incidents de sécurité et des violations de données, les modalités de collaboration des parties dans le cadre de l’étude d’impact… Précisons enfin que les fournisseurs de services de communications électroniques accessibles au public sont déjà soumis à l’obligation de notifier les violations de données à caractère personnel à la Cnil en application de l’article 34bis de la loi « Informatique et Libertés ».
Les Opérateurs d’Importance Vitale
Par ailleurs, l’entreprise est soumise à des obligations issues de textes définissant un haut niveau de sécurité. Les opérateurs d’importance vitale (OIV) sont soumis à des obligations spécifiques en matière de protection de leurs systèmes d’information. Ils doivent notamment, en application de la loi de programmation militaire (LPM), notifier leurs incidents de sécurité à l’Anssi. En outre, les prestataires participant à la sécurité ou au fonctionnement des systèmes d’information des OIV sont contractuellement soumis aux obligations prévues par la LPM. Il convient de ne pas oublier que la directive dite « NIS » du 6 juillet 2016 qui devra être transposée au plus tard le 9 mai 2018, imposera aux fournisseurs de services numériques (prestataires de places de marché en ligne, moteurs de recherche en ligne et prestataires de services d’informatique en nuage) notamment de sécuriser leurs systèmes d’information et leurs infrastructures, de gérer les incidents…
Les salariés
Concernant les salariés, l’employeur doit veiller à la santé et à la sécurité des salariés. Dans ce contexte, il doit mettre en place des actions de préventions au moyen notamment de formations et de sensibilisations. Les modalités d’utilisation des moyens informatiques et de télécommunication mis à disposition des collaborateurs doivent être encadrées, sans pour autant méconnaître les droits des collaborateurs. Les dispositifs de surveillance des salariés sont soumis aux mêmes exigences.
L’entreprise devra avoir recours à la charte informatique. Cette dernière aura une portée disciplinaire à l’égard des collaborateurs en étant annexée au règlement intérieur. En outre, la loi n°2016-1691 du 9 décembre 2016 dite loi « Sapin II » impose aux entreprises de mettre à disposition des salariés et des collaborateurs extérieurs et occasionnels une procédure de signalement. Cette dernière doit permettre aux utilisateurs de remonter, en interne, divers manquements définis par la loi.
Le secret des affaires
Une attention particulière doit être portée à la directive relative au secret des affaires du 8 juin 2016, laquelle devra être transposée d’ici juin 2018. Cette directive a pour objet de protéger les informations des entreprises, dès lors que lesdites informations sont secrètes, qu’elles ont une valeur commerciale du fait de leur caractère secret et qu’elles ont fait l’objet de dispositions raisonnables destinées à les garder secrètes. L’application du secret des affaires nécessite encore quelques précisions, notamment sur la nature des dispositions raisonnables. Toutefois, les entreprises auront tout intérêt à prendre des mesures afin de garantir le caractère secret de leurs informations et être en mesure d’identifier toute violation de ce secret ainsi que l’utilisation non autorisée de ce secret (chiffrement, marquage des informations…). Le recours aux clauses de confidentialité renforcée tant dans les contrats de travail que dans les contrats de prestations de service ne peut être qu’encouragé.
La propriété intellectuelle
Une politique de gestion et de valorisation des actifs immatériels liés aux droits de propriété intellectuelle (portefeuille de marque et de licences, bases de données) doit s’effectuer avec les directions métiers. Il ne peut être que recommandé aux entreprises de veiller à la titularité des droits de propriété intellectuelle des outils qu’elles utilisent ou mettent à disposition de tiers. A titre d’exemple, une cartographie des licences doit être réalisée et ce, afin d’anticiper les audits de licence.
Pour conclure, l’entreprise n’a pas que des obligations mais également des droits. Ainsi, l’émergence d’une culture d’entreprise intégrant la protection des données personnelles et, plus généralement, des actifs de l’entreprise suppose la mise en œuvre d’une véritable gouvernance. Cette dernière est d’autant plus importante que les manquements aux réglementations précitées sont sanctionnés sur le plan civil, pénal et administratif. A titre d’illustration, les manquements au RGPD pourront être sanctionnés par des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. La sensibilisation différenciée selon les acteurs (instances dirigeantes, collaborateurs) sur les différents enjeux juridiques (propriété intellectuelle, sécurité, données personnelles, etc.) joue un rôle accru.
