On entend beaucoup parler ces derniers temps de DLP, data leak/loss prevention. Mais que se cache-t-il réellement derrière cette expression ? Le mot-clé dans cette expression est le mot prévention. En effet, devant la croissance exponentielle du nombre de cas de vol ou d’atteinte aux données des entreprises, nos autorités réglementaires ont décidé de contraindre les entreprises à mettre en place les mesures nécessaires pour assurer leur sécurité. Pour faire simple, il s’agit de toutes les mesures, principalement techniques mais pas uniquement, qui peuvent être prises afin de garantir la sécurité de vos données. En tant que juriste, je m’intéresserai donc au cadre réglementaire qui peut inciter les entreprises, voir les contraindre, à mettre ce type de politique de prévention en place.

* * *

Dans notre société de l’information, la véritable richesse de beaucoup d’entreprises est constituée de toutes les données et informations sensibles détenues par elles. Les entreprises possèdent, en effet, un grand nombre d’informations qui sont la clé principale de leur succès et de leur puissance économique. Celles-ci deviennent ainsi essentielles à la pérennité de l’activité de l’entreprise.

Ces informations sont très diverses. Il peut s’agir, bien sûr, de données personnelles ; on pense alors à tous les fichiers clients et employés des entreprises.

Il peut également s’agir de données relatives à leurs droits de propriété intellectuelle, leur(s) savoir-faire(s), aux méthodes et procédés développés par l’entreprise, etc.

Enfin, toutes les informations financières, stratégiques, etc, des entreprises jouent un rôle essentiel dans la réussite de ces dernières.

Toutes ces informations ont un point commun, elles sont susceptibles d’exciter la convoitise de tierces personnes. Il peut s’agir de concurrents bien sûr mais également de pirates informatiques ou tout simplement de personnes mal intentionnées.

Or, nos outils modernes de communication électronique nous permettent d’échanger plus rapidement toutes ces informations, révolutionnant ainsi nos méthodes de travail.

Malheureusement, cette révolution augmente également les risques que les entreprises et leurs données courent, accentuant les hypothèses de fuite ou de perte de données. Un rapport de 2010, réalisé par Symantec et Ponemon Institute, et intitulé « 2010 Annual Study : French Cost of a Data Breach », affirmait par exemple qu’en 2010, le coût des pertes de données avait augmenté de 16%, et atteignait ainsi 98€ par donnée. De plus, parmi un panel d’entreprises étudiées, il a été établi une fourchette du coût total le plus élevé au plus faible lié à une perte de données, entre 8.6 millions et 282.000 euros.

Cet enjeu de la perte ou fuite de données est donc une problématique majeure pour les entreprises, qui doivent se sentir de plus en plus concernées.

Certaines entreprises, dans le domaine de la santé ou des services financiers par exemple, ont été les premiers à s’en préoccuper réellement, et ont, pour cela, mis en place, très tôt, des systèmes de prévention plus ou moins efficaces mais qui avaient au moins le mérite d’exister.

Mais ces deux secteurs ne sont pas les seuls touchés, ni même nécessairement les plus touchés par cette problématique. En effet, ainsi que nous venons de l’exposer brièvement, chaque entreprise détient des informations ou des données qui peuvent éveiller la convoitise d’un tiers.  

Face à une telle problématique, les autorités de régulation des données personnelles sont naturellement aux avants postes. La règlementation européenne impose d’ores et déjà aux entreprises de mettre en place les mesures de sécurité nécessaires afin d’assurer la sécurité des données personnelles détenues.  

En complément, le Royaume-Uni a mis en place un système de surveillance contraignant, dirigé par l’Information Commissioner’s Office (ICO – l’équivalent de la CNIL en France). Depuis 2010, cette commission nationale a la possibilité d’infliger des amendes, pouvant aller jusqu’à 500.000£ (soit environ 580.000 euros), à toute entreprise contrevenant à la loi britannique relative à la protection des données personnelles. Cette sanction est encore plus sévère pour le secteur de la banque-assurance, puisque l’ICO, soutenu par le Financial Service Authority (FSA) peut prononcer des amendes bien plus élevées.1

En France, depuis l’ordonnance du 24 août 2011, transposant une partie de dispositions du paquet télécom, les fournisseurs de services de communications électroniques accessibles au public sont tenues d’informer la CNIL sans délai en cas de violation2 de données personnelles3. De même, les fournisseurs de services de communications électroniques peuvent se voir contraints de notifier chaque individu concerné. Toutefois, l’ordonnance précise que « la notification d'une violation des données à caractère personnel à l'intéressé n'est pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en oeuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation ».

Le non-respect de cette obligation de notification est sévèrement sanctionné par cinq ans d'emprisonnement et 300 000 € d'amende.

On peut toutefois regretter que cette obligation soit limitée aux fournisseurs de services de communications électroniques accessibles au public. Néanmoins, s’agissant de l’ordonnance de transposition de la directive paquet télécom ce n’est pas nécessairement surprenant.

De toute façon, ce n’est qu’une question de temps avant que l’obligation soit élargie à l’ensemble des entreprises en France. En effet, les propositions de modifications de la directive Européenne de protection de données personnelles de 1994, présentées le 25 janvier dernier et portées par Viviane Reding, commissaire européenne à la justice, incluent une obligation de notification comparable mais étendue.

Dans ce projet, c’est tout responsable de traitement qui devient débiteur d’une obligation de notification à l’autorité de protection des données personnelles en cas de violation de données. La notification doit être faite dans les 24 heures qui suivent la violation.

En revanche, comme dans le texte français, le responsable du traitement est dispensé de l’obligation de notifier chaque individu concerné s’il prouve, à la satisfaction de l’autorité de contrôle, « qu'il a mis en oeuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données à caractère personnel concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès ».

Parmi les autres propositions de modifications du cadre règlementaire européen applicable à la protection des données personnelles, on notera également la volonté de renforcer le pouvoir des autorités de contrôle et les sanctions financières applicables. La commissaire Redding propose jusqu’à 1 million d’euros ou 2% du chiffre d’affaires global annuel de la société concernée. Elle frappe là où ça fait le plus mal… Nous notons également, parmi les mesures annoncées, l’adoption d’une directive ayant pour but d’appliquer divers principes de protection des données personnelles en vue d’une coopération policière et judiciaire sur des dossiers pénaux. En effet, le projet de directive relève notamment qu’il est nécessaire que « les services répressifs nationaux puissent traiter et échanger plus rapidement des données afin de prévenir et de combattre la criminalité transnationale et le terrorisme. Dans ce contexte, des règles claires et cohérentes en matière de protection des données au niveau de l'UE contribueront à développer la coopération entre les services concernés ».

Toutes les règlementations que nous venons d’évoquer, présentes ou futures, ne concernent cependant qu’une protection spécifique pour les seules données personnelles.

Mais comme vu précédemment, les entreprises détiennent bien d’autres types de données extrêmement importantes à leur fonctionnement.

A cet égard, il faut bien reconnaitre que notre arsenal judiciaire ne permettait pas toujours de traiter efficacement les affaires de vols d’information.

C’est en ce sens qu’une première initiative concernant la protection du secret des affaires, portant le sceau « confidentiel entreprise », a vu le jour. Ce projet, soutenu par Eric Besson, ministre en charge de l’Industrie, de l’Energie et de l’Economie numérique, prévoit la création d’un « confidentiel entreprise », à l’instar du « confidentiel défense ». Ainsi, certaines données stratégiques et sensibles d’une entreprise, telles que les rapports scientifiques, commerciaux ou financiers pourraient être frappées d’une mention « confidentiel entreprise ». Toute divulgation d’un document portant cette mention constituait ainsi une infraction pénale.

Suite à cela, une proposition de loi a été votée en première lecture à l’Assemblée Nationale, portée par le député Carayon, le 23 janvier 2012, créant un nouveau délit de « violation du secret des affaires » passible de 3 ans de prison et d’une amende de 375 000 euros. Reprenant la philosophie du projet de loi précédemment évoqué, les entreprises vont devoir déterminer les types de documents commerciaux, financiers, industriels, scientifiques, techniques ou stratégiques dont la divulgation pourrait « compromettre gravement ses intérêts ». Une personne communiquant ces informations à un tiers pourra être poursuivie sur le fondement du délit créé par ce texte.

La création de ce délit de violation du secret des affaires présente deux intérêts. Tout d’abord, il doit susciter au sein des entreprises une réflexion d’une part sur l’identification des informations sensibles qu’elle détient et d’autre part la sécurité à mettre en place concernant ces données.

Dans un second temps, la création de ce texte devrait faciliter les actions judiciaires contre les auteurs de vols ou détournements d’information, facilitant ainsi la mise en place d’un arsenal défensif.

La balle est donc largement dans le camp des entreprises désormais.

Il leur appartient d’adapter leurs pratiques et procédures au cadre réglementaire. Ces réflexions doivent être des réflexions de fond qui doivent prendre en compte les obligations règlementaires qui seront applicables dans les deux ou trois années à venir. En effet, ces nouvelles pratiques et procédures mettront du temps à se mettre en place, alors autant éviter qu’elles deviennent obsolètes au moment où elles rentrent à peine dans les moeurs de l’entreprise.

C’est un délicat équilibre entre mesures techniques, juridiques et sociales qui devra être trouvé.

Il est important de développer, en parallèle à la mise en place d’outils techniques, une conscience collective au sein de l’entreprise afin que tous les employés se sentent concernés par une telle problématique, en comprennent les enjeux et évaluent correctement les risques. En effet, on le sait bien, dans toute politique de sécurité, le seul véritable maillon faible c’est l’humain!