Portail d'information sur la sécurité des données informatiques

Se protéger du vol, de la perte ou des modifications de ses données

En cas de vol ou perte de données, qui est responsable ?

Maître MATHIAS : Par défaut, c’est l’entreprise. Si l’entreprise ne sécurise pas correctement ses données, elle sera responsable. Pour illustrer cela : lorsqu’on laisse les clefs sur la voiture et qu’on nous la vole, l’assurance ne prendra pas en charge ce vol. Par contre, si la voiture est fermée à clef et que la vitre est brisée, l’assurance fonctionnera. C’est le même principe.

Par contre, lors d’une panne matérielle, si l’entreprise fait appel à un professionnel, via un contrat de maintenance par exemple, elle peut avoir des recours si celui-ci n’a pas respecté les conditions du contrat (exemple : le délai d’intervention). Dans le cas d’une panne matérielle, il est également important de déclarer l’incident à son assurance.

Les assurances protègent-elles des risques liés à la perte de données (piratage, sabotage, divulgation…) ?

Maître MATHIAS : Non. Les assurances ne sont pas matures sur le sujet. De plus, ce n’est pas une indemnisation qui va ramener les données de l’entreprise.

Avez-vous des exemples de cas juridique ?

Maître MATHIAS : Oui. L’exemple suivant : La maîtresse de Monsieur X modifie le dossier médical de la femme de Monsieur X pour y ajouter des maladies sexuellement transmissibles. Et bien entendu, elle diffuse le dossier dans toute l’entreprise à l’aide d’une adresse générale de service. Cette entreprise n’a pas de charte. La maîtresse de Monsieur X ne peut pas être poursuivie pour criminalité informatique.

En cas de fuite d’information, que doit faire l’entreprise ?

Maître MATHIAS : La violation d’information, aussi appelée « data breach » doit faire l’objet d’une déclaration à la CNIL, c’est une obligation réglementaire.