Entrée en application du RGPD : comment réduire les risques financiers ?

Le Règlement européen sur la protection des données (RGPD) entre en application le 25 mai 2018.

Les aspects réglementaires 

Le Règlement européen sur la protection des données a pour objectifs de renforcer le droit des personnes et de responsabiliser les acteurs traitant des données, qu’ils soient directement responsables du traitement, ou sous-traitants.

Il rend ainsi les entreprises responsables des données personnelles qu’elles détiennent et prévoit des amendes « proportionnées et dissuasives » (chapitre VIII, article 83 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) pouvant atteindre 4% de leur chiffre d’affaires en cas de vol ou de compromission.

Les entreprises supportent désormais une obligation de notification des violations des données personnelles.

Quelles sont les conséquences de cette nouvelle réglementation ? 

Au-delà de l’aspect organisationnel, l’impact pour les entreprises est financier.

Pour illustrer concrètement ces propos, reprenons l’exemple de l’enseigne DARTY. En 2017, la CNIL a constaté une réelle défaillance de sécurité permettant d’accéder librement à l’ensemble des données renseignées par les clients de la société via un formulaire en ligne de demande de service après-vente : 912 938 fiches étaient potentiellement accessibles, contenant nom, prénom, adresse postale, adresse de messagerie électronique, commandes.

En tant que responsable de traitement, l’enseigne aurait dû remédier à la situation, même en cas de recours à un sous-traitant, puisque rappelons le, en sa qualité de responsable de traitement, l’enseigne avait l’obligation de s’assurer et de vérifier que l’outil développé par son sous-traitant répondait notamment à l’obligation de confidentialité énoncé à l’article 34 de la loi « Informatique et Libertés ».

Elle écope donc début 2018 d’une sanction administrative à hauteur de 100 000 € pour ne pas avoir suffisamment sécurisé les données de ses clients.

Sous l’empire du RGPD, la sanction aurait été a minima de 4 M€pouvant atteindre 19 M€ puisque le RGPD augmente le seuil des sanctions maximales.

Comment transférer ce risque financier ?

La souscription d’un contrat d’assurance cyber permet aux entreprises de limiter l’impact financier en cas d’attaque et de disposer d’un accompagnement de partenaires experts pour affronter la crise.

Servyr a développé une offre packagée comprenant :

  • Un volet « Gestion de crise » avec un accompagnement de consultants spécialisés en cas d’attaque.
  • Un volet « Dommages » pour la prise en charge des pertes d’exploitation, des frais de notification, des sanctions légalement assurables et des frais de défense.
  • Un volet « Responsabilité Civile » pour indemniser les réclamations des tiers suite à une atteinte aux données personnelles ou à un manquement à l’obligation de notification.

Pour aller plus loin…

Servyr peut vous mettre en relation avec un prestataire référencé par le site cybermalveillance du gouvernement, qui pourra vous proposer la réalisation d’un audit identifiant les principales menaces pour votre entreprise.

Afin de vous accompagner dans l’évolution de vos besoins, les équipes de Servyr sont à votre disposition pour répondre aux questions que vous pourriez vous poser et vous accompagner dans la mise en place des outils de transfert de risque. Pour en savoir plus, contactez-nous !

Plus d'actualités