Raphaël Londinsky 
Le vendredi 12 mai un virus mondial a affolé la toile.
Une cyberattaque de grande envergure de type ransomware (logiciel rançon) bloque quelques centaines de milliers d’ordinateurs à travers le monde et paralyse les systèmes informatiques de plus de 50 multinationales.
Le malware s’est propagé en utilisant une faille du système d’exploitation Windows et réclamait l’obtention d’une rançon payable uniquement en bitcoin. Si les entreprises acceptaient de payer la rançon, elles pouvait alors obtenir une clé informatique pour déverrouiller leurs ordinateurs et récupérer leur données. Ce type d’attaque est de plus en plus courant et attire l’attention des assureurs, des cabinets de conseils en cyber-sécurité et des hackers d’un nouveau genre.
Nous avons pas forcément conscience des risques liés à la cyber sécurité lorsque l’on est une TPE ou une PME. Qui peut bien être intéressé par vos données me diriez-vous? Que les grandes entreprises se protègent en la matière, c’est normal, les enjeux ne sont pas les mêmes et les chiffres d’affaires non plus. Et pourtant depuis quelques temps les directeurs de petites et moyennes entreprises semblent de plus en plus sensibilisé au problème. La récente cyber attaque Wanna Cry a fortement contribué à cette prise de conscience. En effet la cyber sécurité concerne bel et bien tout le monde, les entreprises du CAC comme les plus petites structures. Outre les risques liés à la perte de données ou à des dommages structurels pouvant entraîner l’interruption des activités de l’entreprise, les conséquences réputationnelles découlant d’une cyberattaque sont largement sous estimées. Force est de constater que dans ce domaine l’on apprend encore souvent à ses dépens. Après le désastre Wanna Cry, le nombre de demandes pour des polices d’assurance concernant la cybersécurité de la part des TPE et PME a explosé selon le CEO d’Allianz Suisse, Severin Moser.
Le Droit Européen s’intéresse de près à cette problématique. En avril 2016, une loi a été promulguée: le GDPR dont le but est principalement de protéger les données personnelles des résidents européens.
LE GDPR qu’est-ce que c’est?
C’est une loi qui concerne l’ensemble des organisations utilisant des données personnelles de citoyens européens. Une législation précise va être mise en place et les entreprises devront s’y soumettre sous peine de sanction. Les Etats membres ont jusqu’en mai 2018 pour mettre en place et faire appliquer cette nouvelle réglementation.
Un règlement et un guide des bonnes pratiques en matière de protection des données sont donc entrés en vigueur. Et les PME et les TPE ont de lourds retards à rattraper en la matière. C’est le constat qu’a fait le cabinet d’audit PWC suite à une enquête menée auprès des entreprises entre 250 et 2500 salariés. Selon cette étude près de 40 % des PME conservent l’intégralité de leurs archives sans aucune politique de protection adéquates des données. C’est ce genre de pratique qui va être lourdement sanctionné par le nouveau GDPR. En tant qu’auto-entrepreneur ou dirigeant de PME, vous devez impérativement vous mettre aux normes.
En cas de non conformité avec la nouvelle législation en vigueur, le GDPR expose les entreprises à de lourdes sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel ou bien 20 Millions d’euros (somme maximale). Les entreprises ne respectant pas le règlement européen peuvent également être poursuivies en justice en cas de dommages matériels ou morals envers un citoyen européen du fait de la non protection de ses données personnelles.
Pour en savoir plus et vous préparer au mieux à cette réforme la CNIL, la Commission Nationale de l’Informatique et des Libertés a édité un guide en 6 étapes pour vous accompagner dans ce changement de paradigme. Il est disponible ici: https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
zyfro