Les entreprises sont régulièrement victimes d’attaques visant les données à caractère personnel qu’elles traitent et stockent, en vue de les revendre ou d’utiliser de manière malveillante l’identité des personnes concernées.

Le coût moyen d’un vol de données pour une société française en 2012 est de 2,86 millions d’euros[1], soit une hausse de 12% en un an.

Pourtant, les entreprises qui collectent des données à caractère personnel sont tenues de prendre toutes précautions utiles au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données et, notamment, empêcher qu’elles soient dérobées, endommagées, ou que des tiers y aient accès[2] :

–          le manquement à la sécurisation des données est puni de 5 ans d’emprisonnement et 300 000 € d’amende[3];

–          la divulgation illicite de données personnelles est punie de 5 ans d’emprisonnement et de 300 000 € d’amende, ou de 3 ans d’emprisonnement et 100 000 € d’amende si la divulgation a été commise par imprudence ou négligence[4].

 

En amont, pour protéger efficacement votre système de traitement de données :

–          assurez-vous d’avoir protégé l’accès (physique et numérique) aux données par des mesures adéquates et une véritable politique de sécurité d’entreprise ;

–          utilisez un système de cryptage ;

–          faites procéder à un audit de vulnérabilité de votre système par un prestataire spécialisé ;

–          si vous avez confié le stockage de ces données à une autre entreprise, vérifiez dans vos contrats la présence d’une clause engageant la responsabilité de votre prestataire en cas d’incident.

 

Si vous êtes victime d’un vol de données à caractère personnel :

–          faites appel à un prestataire qui vous accompagnera dans la résolution du problème et identifiera les failles des systèmes de traitement et de stockage ;

–          portez plainte sans attendre ;

–          en cas de vol de données particulièrement sensibles, telles que des données bancaires, avertissez les personnes concernées afin qu’elles puissent prendre les dispositions nécessaires.

 

Claudia WEBER, Avocat Associée

Arthur DUCHESNE, Avocat

ITLAW Avocats

www.itlaw.fr

[1] Chiffres issus de l’étude annuelle, sponsorisée par Symantec, du Ponemon Institute 

[2] Article 34 de la Loi n°17-78 du 6 janvier 1978 modifiée

[3] Article 226-17 du code pénal
[4] Article 226-22 du code pénal

Nous contacter