Logo Cyber Cover
Retour aux articles

1-    A propos du RGPD

Les récentes violations massives de données personnelles montrent que malgré les moyens mis en œuvre afin de protéger les données qui leur sont confiées, les entreprises sont souvent victimes d’atteintes / de violation de leur données personnelles, que la cause soit une cyberattaque ou tout simplement une erreur humaine avec une diffusion accidentelle des données. L’entrée en vigueur du RGPD pose la question de l’utilité de souscrire un contrat d’assurance cyber.

Au cœur de ces histoires se trouvent des préoccupations concernant la vie privée des consommateurs, avec un impact financier réel pour les organisations et  un risque pour l'image des entreprises victimes d'une faille de sécurité (il n’est plus possible de cacher une violation des données personnelles).

Au-delà de cette atteinte à l’image de l’entreprise défaillante dans son rôle de sécurisation des données confiées, l’entreprise court le risque de sanction de la part de l’autorité administrative (la CNIL en France en l’occurrence) conformément au Règlement Général sur la Protection des Données (RGPD).

 

A-    RGPD : montant des amendes

Le RGPD ou GDPR  fixe des normes strictes pour la collecte, l'utilisation, la gestion, la protection et le partage des données personnelles par les organisations.
Les amendes pour violation du règlement peuvent aller jusqu’à 20 millions d'euros (22,5 millions de dollars) ou 4 % du revenu annuel global d'un groupe, le montant le plus élevé étant retenu.

Depuis son entrée en vigueur en mai 2018, les autorités de contrôle (CNIL en France) ont procédé à des contrôles, infligeant des amendes aux entreprises négligentes au regard de leurs obligations.
La dernière en date étant l’amende de 250 000 € infligée à Spartoo en raison de plusieurs manquements au RGPD (https://www.cnil.fr/fr/spartoo-sanction-de-250-000-euros-et-injonction-sous-astreinte-de-se-conformer-au-rgpd).

 

B-    RGPD : quelles obligations ?

Toutes les entreprises qui offrent des biens et des services aux résidents européens (ou qui collectent leurs données personnelles d'une autre manière) doivent se conformer au RGPD, y compris les organisations opérant en dehors de l'Union Européenne. Le règlement exige notamment que les organisations prouvent leur conformité avec le RGPD et accordent aux individus plusieurs droits liés à leurs données - notamment le droit de faire effacer leurs données.

Le règlement européen sur la protection de la vie privée exige également que les organisations prennent en compte les risques liés à la protection de la vie privée dans le processus de conception de nouveaux produits ou services, en particulier pour s'assurer qu'un minimum de données personnelles sont collectées, utilisées et conservées.

En outre, le RGPD exige que les organisations notifient aux autorités de contrôle, dans les 72 heures, toute violation de données qui met en danger les données des personnes.



C-    RGPD : quelles conséquences pour une entreprise ?

Les organisations doivent non seulement se conformer aux règlements, mais aussi poursuivre activement la bonne application du RGPD par ces mesures :

- La réalisation de fréquents audits de sécurité aidera à déterminer la garde des données personnelles qu'elles détiennent.

- Élaborer des plans pour contrôler et adapter en permanence leurs efforts de conformité des données.

- Veiller à ce que leurs contacts avec des sous-traitants de données tiers respectent au moins les normes minimales du GDPR.

- Inclure des procédures de notification des violations de données dans les plans de réponse aux incidents et impliquer toutes les parties prenantes appropriées.

 

D- Quels sont les plus grands risques pour une entreprise en matière de GDPR ?

Les pénalités liées à la GDPR ont fait l'objet de nombreux commentaires. Mais le commissaire britannique à l'information, Elizabeth Denham, a pris soin de dissiper l'idée que les entreprises vont automatiquement être frappées d'amendes énormes en cas de violation du GDPR. La possibilité d'imposer des sanctions financières n'est qu'un des pouvoirs dont dispose les autorités de contrôle.

Ainsi, lorsqu'elles examinent les risques associés au non-respect de la GDPR, les organisations ne devraient pas se concentrer uniquement sur les amendes, mais aussi sur une série d'autres conséquences possibles. Parmi celles-ci, on peut citer les suivantes :

  • Coûts et ressources nécessaires pour répondre aux interventions et aux enquêtes dans le cadre d’une violation.
  • Interruption de l'activité - surtout si l'entreprise doit cesser ses activités pendant qu'une enquête est en cours.
  • Les demandes civiles d'indemnisation présentées par des personnes dont les droits et libertés ont été affectés par une violation du GDPR.
  • Atteinte à votre réputation. Lorsqu'un organisme de contrôle émet une sanction, cette information est du domaine public.
  • Les frais de notification (le RGPD peut imposer dans certaines circonstances, selon la nature et l’ampleur de la violation, une obligation de notification aux victimes).

Certains de ces risques peuvent être transférés sur un contrat d’assurance cyber RGPD dédié.

cyber_assurance


2- RGPD et ASSURANCE CYBER

A-    Réduire les coûts avec l’assurance cyber

Les entreprises prudentes se tourneront toujours vers l'assurance pour protéger ce qui est important. Et en matière de protection des données, l’assurance cyber  peut être particulièrement utile pour vous aider à couvrir les coûts et les ressources nécessaires pour répondre efficacement à une violation de données. Il ne fait aucun doute que le RGPD  a amené de nombreuses entreprises à se poser la question de la protection des données et à envisager pour la première fois de souscrire une cyber assurance.

Pour de nombreuses organisations, l’assurance cyber peut être un outil utile pour réduire bon nombre des risques liés à la protection des données auxquels elles sont confrontées.

Les entreprises doivent cependant intégrer le fait que tout ne peut pas être assuré et plus particulièrement le paiement des amendes prononcées par les autorités administratives (à l’heure où nous écrivons cet article, aucune jurisprudence n’a montré le paiement des amendes par une compagnie d’assurance).

 

B-    Comment l’assurance cyber contribue à réduire les risques de non-conformité au RGPD ?

En rapport direct avec vos exigences en matière de RGPD, l’assurance cyber criminalité peut fournir un niveau de protection utile dans les domaines suivants :

  • Gestion des incidents : en prenant en charge la gestion de la crise, de la cyber attaque, les coûts liés à la récupération et à la restauration des données par des spécialistes informatiques.
  • Défaillance des systèmes : en cas de défaillance, de panne ou d'interruption de service d'un système interne, l'assurance peut aider à couvrir les coûts de remise en ligne.
  • Service d'intervention : certains assureurs peuvent fournir un accès d'urgence à des spécialistes de l'intervention en cas de faille avec vol de données, ce qui est utile si vous ne disposez pas de cette expertise en interne.
  • Accompagnement dans la notification à la CNIL : prise en charge des coûts juridiques et informatiques afin de répondre aux demandes de la CNIL (information sur la nature de la violation).
  • Réclamations civiles : couverture pour la représentation juridique ainsi que la prise en charge des préjudices financiers causés à des tiers consécutif à la violation.

 

3-Assurance cyber et RGPD : quelles limites ?  

L'assurance ne peut pas vous protéger contre tous les engagements liés à la GDPR.

Les limitations importantes sont les suivantes :

A-    Amendes prononcées par la CNIL dans le cadre du RGPD

De nombreuses politiques prévoient la couverture des amendes réglementaires, dans la mesure où ces amendes sont "recouvrables en droit". C'est là que se situent les difficultés. Après tout, les amendes sont censées avoir un effet dissuasif, et si les entreprises sont en mesure de faire une demande d'indemnisation pour éviter de payer, cet effet dissuasif est perdu.

Le législateur le reconnaît, c'est pourquoi il existe une "défense d'illégalité" établie de longue date qui empêche les entreprises et les particuliers d'utiliser l'assurance pour éviter les conséquences de leurs actions illégales. À ce jour, les tribunaux français n'ont pas encore été saisis d'une affaire visant à déterminer si une amende infligée par un régulateur de données peut être légalement couverte par une assurance. Mais nous savons déjà, grâce à d'autres domaines du droit (par exemple les sanctions pénales et les amendes infligées par l'Autorité de la concurrence et des marchés), que les amendes de nature "pénale" (c'est-à-dire destinées à punir le contrevenant) ne sont pas recouvrables.

Comme nous l'avons déjà vu, la CNIL  n'inflige pas d'amendes aux organisations pour des raisons insignifiantes. Lorsque des sanctions financières sont jugées appropriées, c'est généralement en cas de manquements flagrants et graves, ou lorsque, malgré les avertissements, l'entreprise en question n'a pas réussi à se redresser. En d'autres termes, dans la plupart des cas, une amende de la CNIL serait probablement considérée comme étant de nature "pénale". Ainsi, même si votre police semble couvrir les amendes réglementaires, sachez qu'elle pourrait être ultérieurement jugée non "recouvrable en droit", ce qui rendrait ce domaine de couverture pratiquement inutile.

 

B-    Dommages à la réputation

De nombreuses polices comprennent une couverture destinée à remédier à l'atteinte à la réputation résultant d'une violation de données ou d'un autre incident cybernétique. Supposons que votre entreprise soit visée par une attaque de logiciel malveillant. Les données personnelles de vos clients sont compromises et, pour aggraver les choses, vous n'en informez pas les personnes concernées. À la suite de l'enquête et de la sanction prononcée par la CNIL, vous risquez de perdre une part  importante de votre clientèle.

Votre police d'assurance peut inclure une garantie pour la publicité, la communication et même les conseils d'experts en relations publiques, mais elle ne vous indemnisera pas pour la perte de revenus résultant de la perte de clients.

 

CONCLUSION

L'assurance cybercriminalité n'est pas une alternative à une stratégie de mise en conformité avec le RGPD.

Dans des domaines tels que l'intervention et la récupération, et l'obtention d'une expertise technique lorsque vous en avez besoin, l’assurance cyber peut fournir une niveau précieux de protection en transférant une part importante du risque financier sur la compagnie d’assurance, mais l'assurance ne peut jamais vous protéger contre toutes les conséquences d'un manquement à la protection des données ou au non-respect de la législation en la matière.

Si vous souhaitez une étude tarifaire sur mesure et une analyse de votre exposition aux risques numériques, nous vous invitons à réaliser votre devis assurance cyber en ligne ou à nous contacter par téléphone.

 Marc-Henri BOYDRON

cyber_assurance

 

Revenir aux articles

Nos offres Cyber Assurance

Assurance cyber

Faire face à une cyber attaque

  • Assistance - Gestion de crise 24/7
  • Atteinte aux données / RGPD

Transférer le risque financier d'une cyber attaque

  • Prise en charge des dommages subis
  • Responsabilité civile cyber
Notre couverture Cyber
Offre Abonné

Cyber prévention

Vous préparer à une cyber attaque

  • Cyber diagnostic préventif
  • Service Security Rating
  • Surveillance exposition web 24/7
  • Entrainement au Phishing
  • Plateforme sensibilisation cybersécurité
  • Exercice entrainement à une cyber crise
Notre service prévention

Diagnostic Cyber

Demandez un diagnostic gratuit de votre exposition aux risques numériques.

Obtenez votre devis
Diagnostic Cyber

01 89 73 01 15