« Failles de sécurité et violation de données personnelles » la dernière publication du cabinet Alain Bensoussan Avocats Lexing aux éditions Larcier , premier ouvrage permettant aux entreprises de savoir comment réagir sur le plan juridique lorsqu’elles sont confrontées à une fuite de données.
Les médias se font régulièrement l’écho de comptes clients dérobés lors d’attaques informatiques ou dévoilées sur internet, et ce en raison d’une mauvaise configuration d’un site web, d’une « faille de sécurité ».
De la gestion à la production en passant par le marketing, quel que soit le secteur d’activité, l’informatique et plus généralement les réseaux sont omniprésents et rendent vulnérable toute organisation face aux failles de sécurité.
Qu’est-ce qu’une violation de sécurité : une faille ou un défaut ?
Cette expression a une acception très large. Elle recouvre tous les éléments qui portent atteinte à un système de traitement automatisé de données : les erreurs, les bogues, mais aussi les fraudes internes et externes. Elle traduit le fait qu’à un instant des données se trouvent avoir été corrompues.
Les risques sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences tant sur le plan financier qu’en termes d’image.
Comment notifier à la Cnil et informer les clients et partenaires lorsque la faille de sécurité a conduit à une violation de données à caractère personnel ? Quelles sont les organisations soumises à cette obligation de notification et d’information ? Quelles sont les mesures de protection appropriées et les actions qui doivent être mises en œuvre ? Quels sont les recours et sanctions en cas d’exploitation d’une faille de sécurité par des pirates informatiques ? Quels services spécialisés de la police ou de la gendarmerie peut-on solliciter ? Comment ce cyber risque est-il couvert par les assureurs ?
Autant de questions abordées par cet ouvrage à jour du nouveau Règlement européen sur la protection des données adopté le 27 avril 2016, qui notamment généralise à l’ensemble des entreprises, quel que soit leur secteur d’activité, l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées.
Second ouvrage de la collection des MiniLex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie, le MiniLex Failles de sécurité et violation de données personnelles, a été rédigé par Virginie Bensoussan-Brulé, Chloé Torres, avec la collaboration de Gérôme Billois, Senior Manager, et Vincent Nguyen, consultant senior, au cabinet Solucom.
Il est édité par les éditions Larcier dans la collection Lexing-Technologies avancées & Droit. Il est préfacé par Lazaro Pejsachowicz, Président du Clusif.
MiniLex Failles de sécurité et violation de données personnelles, Ed. Larcier, Juillet 2016 (146 p.).