Protection des données personnelles : un risque lourd de conséquences pour les professionnels et les TPE

Le nombre d'attaques informatiques a quadruplé depuis le début de la crise sanitaire. Les professionnels indépendants et TPE ne sont pas épargnés. Toutes les entreprises gérant des fichiers contenant des données personnelles sont vulnérables aux attaques cyber et doivent assurer la protection de ces données, conformément au Règlement Général de Protection des Données (RGPD). Groupama vous aide à faire le point sur vos obligations, les risques encourus ainsi que sur les principales mesures de prévention à prendre pour assurer la sécurité du traitement des données personnelles.

Page GFR - professionnels et entreprises - conseils : Protection des données personnelles : un risque lourd de conséquences pour les professionnels et les TPE  - visuel immersif

Le risque cyber, une menace plus que jamais majeure

La menace cyber atteint des sommets. Les tendances observées en 2019 se sont confirmées en 2020. L’année a été marquée par une recrudescence des attaques par rançongiciels ou ransomware : 2 287 signalements, 759 incidents, dont 7 incidents majeurs(0). Selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), le nombre de signalements liés à des rançongiciels a été multiplié par quatre par rapport à l’année 2019(0).


Le ransomware consiste à chiffrer et empêcher l'accès aux données de l'entreprise et à réclamer une rançon pour les libérer. Ce type d'attaques s'accompagne de plus en plus souvent d'un vol de données et d'une destruction préalable des sauvegardes. Elles sont généralement rendues possibles par une intrusion sur le réseau de l'entreprise, soit par ses accès à distance, soit par la compromission de l'équipement d'un salarié.


Les attaques par e-mail de type phishing ou hameçonnage ont également été massives et touché de nombreuses entreprises. Ces attaques visent à dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l'identité d'un tiers de confiance. Avec, pour conséquences possibles, le piratage de comptes professionnels de messagerie ou d'accès aux systèmes d'information de l'organisation, l'intrusion sur le réseau de l'entreprise ou encore la fraude aux faux ordres de virement.


Quelles entreprises sont ciblées ?

Les cyber-risques augmentent d’année en année, et l’amélioration de la cyberdéfense des grandes entreprises semble avoir reporté cette cybercriminalité vers les petites entreprises, plus vulnérables. Avec la crise sanitaire et l’incitation au télétravail, la situation s’est encore aggravée, les salariés utilisant leur propre matériel informatique sans véritable souci de la sécurité informatique. Depuis le début du confinement, les entreprises, et particulièrement les PME/TPE ont été la cible des hackers. L’ANSSI a enregistré depuis mars 2020 une hausse de 400 % des tentatives de phishing(0).


Aucun secteur d’activité ne semble épargné par les attaques cyber. Les entreprises gérant des fichiers clients contenant des données personnelles (notamment les e-commerçants, les sociétés de services, les professionnels de santé) doivent être particulièrement vigilantes et mettre en place les mesures de prévention nécessaires pour assurer la sécurité du traitement des données personnelles de leurs clients. Encore plus s’il s’agit de données personnelles sensibles. En cas de violation de ces données, la responsabilité de l’entreprise peut être mise en cause.


Données personnelles et RGPD

Qu’est-ce qu’une donnée personnelle ?

Toute information se rapportant à une personne physique, identifiée ou identifiable, est une donnée personnelle. Une personne peut être identifiée :

  • directement : par exemple par son nom et son prénom ;

  • indirectement : par un identifiant (n° de client, n° de téléphone, n° de sécurité sociale), une donnée biométrique ou des éléments spécifiques à son identité physique, génétique…(0)

Ce que dit le RGPD

L’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a renforcé les obligations en matière de protection des données personnelles. Tous les organismes (privés et publics) doivent mettre en place une organisation adaptée à leur taille et aux risques liés aux traitements des données personnelles qu’ils mettent en œuvre. Ces risques sont évalués en fonction de la sensibilité des traitements réalisés, du volume des données personnelles traitées ou encore de leur sensibilité. 


Le RGPD, qui harmonise au niveau européen la réglementation sur la protection des données personnelles, a pour objectif de protéger les personnes physiques à l’égard du traitement de leurs données personnelles.


Si vous traitez des données personnelles dans le cadre de votre activité professionnelle, le RGPD s’applique, dès lors que(0) :

  • le responsable du traitement (l’entreprise qui met en œuvre un traitement de données personnelles pour son propre compte et qui en définit les objectifs et les moyens) ou le sous-traitant (l’entreprise qui met en œuvre un traitement de données personnelles pour le compte d’un autre organisme qui en détermine les objectifs et moyens) est établi sur le territoire de l’Union Européenne ;

  • les activités de traitement sont liées à une offre de biens ou de services à des personnes situées sur le territoire de l’UE ou au suivi du comportement de personnes situées sur le territoire de l’UE, si le responsable du traitement ou le sous-traitant n’est pas établi sur le
    territoire de l’Union européenne.


Quelles sont vos obligations au titre du RGPD ?

Votre entreprise est soumise à une obligation de protection des données personnelles qu’elle traite, qu’elle agisse en qualité de responsable de traitement ou de sous-traitant.


Pour vous mettre en conformité avec le RGPD, vous devez mettre en place une organisation adaptée à la taille de votre entreprise et à la sensibilité des données personnelles traitées. Il convient notamment de :

  • Mettre en place une gouvernance et désigner un Délégué à la Protection des données personnelles (DPO), le cas échéant.
    Si votre entreprise n’est pas soumise à l’obligation de nommer un DPO, il est recommandé de désigner une personne pilote pour mener le plan de conformité au RGPD.

  • Protéger les données par la mise en œuvre de mesures techniques et organisationnelles.

  • Tenir une documentation permettant de démontrer la conformité au RGPD.

  • Prendre en compte les enjeux liés à la protection des données dès la phase de conception du produit ou du service et par défaut.

  • Notifier les violations de données auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), et auprès de la personne concernée par la violation de ces données, en cas de risque élevé pour ses droits et libertés.


Les risques encourus

En cas de manquement aux obligations du RGPD

En cas de manquement aux obligations du RGPD dans le cadre de votre activité professionnelle, les risques encourus sont multiples :

  • Une amende administrative, en cas d’action de la CNIL ou d’une autorité administrative, pouvant aller jusqu’à 4 % de votre chiffre d’affaires annuel global, ou 20 millions d’euros.

  • Des sanctions pénales : une amende pénale jusqu’à 300 000 € et une peine d’emprisonnement jusqu’à 5 ans.

  • Le mécontentement des personnes concernées : de manière générale, les personnes (clients, collaborateurs…) sont de plus en plus sensibilisées sur les traitements de leurs données personnelles et les risques qu’ils peuvent engendrer pour leurs droits et libertés. Elles n’hésitent plus à interroger les organismes sur la manière dont sont traitées leurs données personnelles et à exprimer publiquement leur mécontentement, voire à saisir la CNIL d’une plainte.

  • Un préjudice d’atteinte à l’image et à la réputation : l’image d’une entreprise ayant méconnu ses obligations en matière de données personnelles peut être fortement entachée dans l’espace public (presse, internet…).


En cas d’attaque informatique et de violation des données personnelles

L’impact d'une attaque informatique peut s’avérer extrêmement préjudiciable.


Que vous soyez victime d’une attaque malveillante ou qu’il s’agisse d’un accident (erreur humaine ou omission commise par l’un de vos salariés), la responsabilité civile de votre entreprise peut être engagée en cas de « faille de sécurité » entraînant la destruction, la perte, la divulgation ou l’accès non-autorisé à des données à caractère personnel lors de leur traitement.


Toute personne ayant en effet subi un dommage matériel, une perte financière et/ou un préjudice moral du fait d’une atteinte à ses données personnelles (salariés, clients...) peut vous demander un dédommagement au titre de votre responsabilité civile.


Outre la mise en cause de votre responsabilité civile, une cyber-attaque avec violation de données personnelles peut fortement impacter l’image et à la réputation de votre entreprise et occasionner une perte de chiffre d’affaires conséquente et de forts préjudices économiques pouvant aller jusqu'à l'arrêt total de l'activité de l’entreprise. Une perte de la valeur patrimoniale et un risque accru de défaillance sont également à craindre(0).



Protection des données personnelles : quelle prévention ?

Assurer la sécurité du traitement des données personnelles

Pour améliorer la sécurité des traitements de données personnelles, vous devez :

  • Recenser l’ensemble des traitements de données à caractère personnel au sein de votre entreprise;

  • Apprécier les risques engendrés pour chaque traitement (accès illégitime, modification non désirée ou disparition des données);

  • Identifier les sources ou menaces de risques (sources humaines interne ou externe, source accidentelle ou malveillante, sources non humaines);

  • Sécuriser vos traitements de données personnelles en adoptant des mesures de sécurité adaptées aux risques.

Les questions à se poser pour chaque traitement de données personnelles(0):

  • Qui ? Identifiez les responsables des services opérationnels traitant les données et établissez la liste de vos sous-traitants.

  • Quoi ? Identifiez les catégories de données traitées ainsi que les données susceptibles de soulever des risques en raison de leur sensibilité (par exemple, des données relatives à la santé).

  • Pourquoi ? Indiquez la ou les finalités pour lesquelles vous collectez ces données (exemple : relation commerciale...).

  • Où ? Déterminez les lieux où sont stockées les données et indiquez le pays vers lesquels elles sont éventuellement transférées.

  • Combien de temps ? Indiquez le temps de conservation des données.

  • Comment ? Précisez les mesures de sécurité mises en œuvre pour minimiser les risques.

  • Les personnes concernées ? Vérifiez que les personnes concernées ont bien été informées des traitements effectués sur leurs données personnelles et des droits dont elles disposent.


Comment prévenir les risques cyber ?

La prévention des incidents et des attaques informatiques relève souvent de réflexes simples qui concourent à une protection globale de l’entreprise.


Pour se prémunir de tout risque cyber, plusieurs mesures de prévention simples à mettre en place apparaissent aujourd’hui incontournables(0). Vous devez notamment veiller à :

  • Choisir avec soin vos mots de passe (mots de passe robustes et complexes) et les modifier régulièrement

  • Mettre à jour régulièrement vos logiciels

  • Bien connaître vos utilisateurs et vos prestataires

  • Effectuer des sauvegardes régulières

  • Prévoir la continuité́ d’activité́   

  • Sécuriser l’accès wifi de votre entreprise        

  • Être aussi prudent avec votre smartphone ou votre tablette qu’avec votre ordinateur      

  • Protéger vos données lors de vos déplacements        

  • Sécuriser les postes de travail (anti-virus, firewall...), les serveurs, les sites web, l’informatique mobile

  • Gérer les habilitations

  • Protéger les locaux

  • Séparer les usages personnels et professionnels...


Mise en cause de votre responsabilité civile suite à une violation de données personnelles : l’accompagnement de Groupama

Si vous exploitez des données à caractère personnel et que vous êtes victime d’une cyber-attaque, vous pourriez être contraint d’indemniser vos clients et/ou fournisseurs en cas de violation de ces données.


Face à ce risque, la garantie Cyber Sécurité incluse dans les contrats d'assurance Multirisques Professionnelle Groupama(0) vous protège.


En cas d’attaque informatique, vous êtes accompagné par des experts en cybersécurité qui établissent avec vous un diagnostic afin de prendre les mesures d’urgence nécessaires et de faciliter les recours.


Vos frais de décontamination de maliciels (logiciels malveillants), de restauration du système d’information et de reconstitution des données (achat de licences par exemple) sont couverts, de même que les conséquences pécuniaires de la responsabilité civile encourue par votre entreprise à la suite de la réclamation d’un tiers en cas de soustraction frauduleuse des données placées sous votre garde.


En cas d’incident ou d’acte de malveillance occasionnant une violation de données personnelles, contactez sans délai votre conseiller Groupama, il saura vous conseiller et vous accompagner.

Nos conseillers à l'écoute pour vous aider

  • MRP-rebond

    Pros & TPE

    Assurance multirisque professionnelle

    Si vous êtes un artisan ou une TPE, profitez d’un contrat adapté pour couvrir vos responsabilités, vos locaux et votre outil de travail.

    Découvrir notre offre
  • Cybersécurité-rebond

    PME & ETI

    Assurance cyber risques

    Protégez votre activité contre les atteintes à vos données et système d’information avec notre assurance cyber risques.

    Découvrir notre offre

Tous nos conseils pour les professionnels et entreprises

Mentions légales et informatives

Pour les conditions et les limites des garanties présentées, se reporter au contrat.


Contenu publié le 10/08/2021