Dirigeants et sécurité des données : quelles obligations règlementaires pour quelle responsabilité pénale ?

Adoptées le 14 avril 2016 par le parlement Européen, les nouvelles règles sur la protection des données (GDPR) renforcent les droits des citoyens européens. La “donnée”, un enjeu qui confronte les dirigeants de TPE/PME ou de grandes entreprises à leur responsabilité pénale.

La sécurité des données est une problématique trop méconnue dans le monde des TPE et PME. Selon une étude Ponemon pour IBM, il apparaît qu’en 2015, en France, le coût moyen total par entreprise des fuites de données a atteint 3,12 millions d’euros. Le risque est donc bien réel. Surtout en observant que 65% des DSI s’attendent à ce que leur organisation soit victime d’une fuite de données dans les 12 prochains mois*.

Des obligations et de lourdes amendes

Le Parlement Européen a adopté un nouveau règlement sur la protection des données, applicable en 2018 dans tous les pays membres de l’Union européenne. Plusieurs éléments sont susceptibles d’impliquer l’organisation des entreprises en matière de collecte, d’exploitation et surtout de sécurisation des données.
Le législateur a prévu de lourdes amendes (pouvant atteindre 20 millions d’euros ou 4 % du total du chiffre d’affaires annuel mondial) sanctionnant – entre autres critères – le manque de rigueur dans la sécurisation des données.


Désormais, toutes les entreprises devront donc fournir des informations précises sur leur pratique de collecte et de conservation des données personnelles. En cas d’attaque ou de mise en péril de l’intégrité des données, les entreprises et les organisations devront signaler les violations de données constatées à l’autorité de contrôle nationale.

Dirigeants et sécurité des données : quelles obligations règlementaires pour quelle responsabilité pénale ?
Dirigeants et sécurité des données : quelles obligations règlementaires pour quelle responsabilité pénale ?

Une responsabilité partagée…

Cette exigence de transparence a d’autres conséquences. La première d’entre elles concerne la désignation d’un Data Protection Officer (DPO), qui sera responsable et garant des dispositifs déployés pour sécuriser les données. Par ailleurs, une entreprise qui s’en remettrait à un prestataire extérieur pour collecter, administrer ou exploiter des données pourrait être mise en cause si ce dernier n’a pas tout mis en œuvre pour protéger les données.


En d’autres termes, une entreprise pourrait être tenue responsable des manquements de ses partenaires et/ou sous-traitants si des données personnelles venaient à être compromises !

Pour Jean-Michel Barbier, business développer, Direction Marché Entreprise de Bouygues Telecom :

«La question de la sécurisation des données est très éclatée sur le marché» 

Grands comptes, ETI, ou PME ont maintenant les mêmes besoins en matière de sécurité. Mais il reste une très grande disparité dans les moyens organisationnels et budgétaires qui peuvent y être associés. Pour ce spécialiste, la perception d’un monde  « numérique » aseptisé, pacifique, inoffensif, et la méconnaissance de l’importance de la donnée sont l’une des premières sources du problème.  

« Toutes les entreprises génèrent aujourd’hui de la donnée. Celle-ci fait totalement partie de l’actif immatériel de la PME. La donnée a beaucoup de valeur. Les chefs d’entreprise doivent comprendre qu’elle doit être protégée, assurée. Au même titre qu’un stock de marchandises ».

Des solutions techniques et… un état d’esprit

Il reste encore à déployer des solutions appropriées. « On commencera par dresser un état des lieux de l’arsenal de protection existant, conseille Jean-Michel Barbier. Ensuite, avant d’aller trop loin dans les investissements et les déploiements complexes, il faudra déployer des solutions basiques de protection (pare-feu, antivirus, etc.), en parallèle de solutions d’évaluation ». Mais au-delà des solutions techniques et du choix des prestataires, la sécurité des données est, pour Jean-Michel Barbier

« Un processus transverse de l’entreprise. Il faut admettre que la sécurité est un effort continu, itératif. Les dispositifs devront évoluer au rythme des menaces extérieures, mais aussi de la croissance et de l’activité de l’entreprise ».

*rapport Secure Business Agility d’Okta – Octobre 2016