Les entreprises doivent se prémunir contre les fuites de données d’origine interne !

Les entreprises traitent des millions de données et le risque de fuites de celles-ci ne cesse d’augmenter.

Selon l’étude PwC / Iron Mountain, 78% des fuites de données sont causées par des collaborateurs internes à l’entreprise.

Cette fuite d’origine interne peut être la conséquence soit d’un acte malveillant de la part du collaborateur, soit d’une négligence de la part de celui-ci.

 

Fuite de données record pour la banque canadienne Desjardins

En juin 2019, la banque canadienne Desjardins a annoncé dans un communiqué avoir été victime d’une fuite de données personnelles de plus de 2.9 millions de clients. Après avoir été informée, le 14 juin, par les autorités de police canadiennes, que la source de cette fuite était un de ses salariés, la banque a licencié ce dernier.

Desjardins a indiqué à ses clients qu’aucun mot de passe ou code d’accès n’avait été touché, et a mis en place un service pour répondre aux questions de ses clients. La banque a surtout rapidement instauré de nouvelles procédures de sécurité afin de protéger les données et comptes de ses clients à l’avenir.

En l’espèce, Desjardins a été victime d’un acte malveillant de la part d’un de ses salariés qui a accédé sans autorisation aux données des clients de la banque et les a subtilisées. Ce cas de figure ne représente que 10% des cas de fuites de données internes, puisque la majorité des fuites de données sont le fruit de « négligences ».

 

La difficile caractérisation de l’intention frauduleuse

En droit français, l’acte réalisé par cet ancien salarié de la banque canadienne serait susceptible de constituer une infraction pénale. En effet, le Chapitre III du Titre II du Livre III du Code pénal, consacré aux atteintes aux systèmes de traitement automatisé de données (STAD), sanctionne notamment l’accès frauduleux à un STAD mais aussi l’extraction et la détention de données d’un STAD , et ce au titre des articles 323-1 et 323-3 du Code pénal. Le contrevenant coupable de ces infractions peut se voir condamné à une peine allant jusqu’à cinq ans d’emprisonnement et 150 000 euros d’amende.

Toutefois, pour mener à bien cette procédure judiciaire, l’entreprise doit identifier le contrevenant, puis doit prouver la réunion de trois éléments qui permettent de qualifier une infraction en droit pénal :

–          l’élément légal ;

–          l’élément matériel ;

–          l’élément moral.

La difficulté probatoire pour l’entreprise repose le plus souvent dans la caractérisation de l’élément moral de l’infraction : il faut prouver une faute de la personne, et donc le fait que l’acte reproché ait été accompli avec intelligence et volonté. Par ailleurs, les infractions d’atteintes aux STAD sont particulièrement exigeantes sur ce point et requièrent expressément la démonstration de l’intention frauduleuse du contrevenant. Il s’agit donc de démontrer que le contrevenant a agi avec la conscience que l’accès ou le maintien (ou l’extraction, etc.) ne lui était pas autorisé.

Afin d’être en mesure de prouver la connaissance par le contrevenant du caractère frauduleux de son acte, l’entreprise doit mettre en place des règles internes qui s’imposent à toutes les personnes ayant accès à des informations personnelles, informations confidentielles, informations protégées par le secret des affaires, etc.  La mise en place, par exemple d’une charte informatique, permet ainsi de prouver que le contrevenant a agi en violation d’une instruction/règle qu’il connaissait et à laquelle il était soumis.

 

La sécurité assurée par la charte informatique

La charte informatique est un document indispensable pour assurer la sécurité des données de l’entreprise en amont d’une potentielle fuite. Ce document est un moyen sûr et performant pour informer les salariés sur les pratiques à adopter, les règles à respecter et les risques qui existent. De plus, elle permet de soumettre l’ensemble des collaborateurs de l’entreprise (salariés, prestataires, stagiaires, …) à des procédures visant à éviter les actes de négligences, comme la consultation de sites non sécurisés, l’utilisation de mots de passe non efficaces, l’ouverture de spams, …

Différentes solutions sont envisageables pour rendre cette charte opposable à l’ensemble des collaborateurs. La charte informatique peut ainsi être signée par les collaborateurs, annexée au contrat de travail/au contrat de prestation de service/à la convention de stage ou bien annexée au règlement intérieur.

 

*

*           *

 

Pour tenter d’éviter les risques de fuite de données, il est vivement conseillé aux entreprises de se doter d’une charte informatique. La rédaction et la communication d’un tel document contribue au respect de  l’obligation de sécurité des données posée par le Règlement 2016/679 sur la protection des données[1], qui s’impose aux entreprises, et constitue un pas de plus vers l’accountability. (Pour rappel, l’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données).

Cette charte informatique, véritable document juridique, sera d’autant plus efficace – que ce soit en amont d’une possible fuite afin d’en éviter l’occurrence, ou en aval en guise d’élément de preuve – si elle est conforme aux droits en vigueur et bien adaptée aux activités et besoins de l’entreprise.

 

[1] Communication de la Cnil sur la sécurité : sensibiliser les utilisateurs (https://www.cnil.fr/fr/securite-informatique-sensibiliser-les-utilisateurs)

 

Par AGIL’IT – Pôle IT, Télécoms & Data protection

Sylvie JONAS, Avocate associée

Morgane BOURMAULT, Avocate