Fuite de données : la cybersécurité plus que jamais nécessaire pour assurer la conformité d’un traitement de données personnelles au RGPD.

26 mars 2024
Corinne Thiérache

  • Actualités récentes et panorama de la cybermenace

Les actualités récentes ne cessent de souligner l’importance de la cybersécurité. La nouvelle enquête ouverte par la CNIL sur la fuite de données notable ayant affecté France Travail (anc. Pôle Emploi) est l’occasion de revenir sur l’articulation entre cybersécurité et protection des données personnelles.

Le 13 mars 2024, l’autorité française chargée de veiller au respect du RGPD[1] sur le territoire depuis maintenant 6 ans a communiqué sur l’ouverture d’investigations à l’encontre de France Travail, victime d’une cyberattaque ayant entraîné la fuite d’un nombre de données conséquent susceptibles de toucher 43 millions de personnes (noms et prénoms, NIR, coordonnées). Cette enquête permettra de mettre en lumière les éventuels manquements de cet établissement public à la réglementation, au regard de son obligation de minimiser les données collectées (art. 5 c. du RGPD), de délimiter la durée de leur conservation (art 5 e.) ou encore d’assurer leur sécurité (art. 5 f.).

C’est cette dernière exigence qui interroge, notamment au vu d’une autre fuite de données ayant déjà mis en danger fin janvier 2024 plus de 33 millions de personnes à la suite des cyberattaques subies par les deux opérateurs de gestion de tiers payant Viamedis et Almerys. Dans un tel contexte, il ne sera raisonnable de prétendre assouplir les conditions de traitement des données de santé pour l’instant soumis à un contrôle ex-ante (art. 9 du RGPD), comme le recommande le rapport sur l’intelligence artificielle remis au gouvernement par la Commission ad hoc ce mois-ci, qu’à la condition stricte d’une politique de cybersécurité efficace. [2]

Dans son panorama annuel de la cybermenace, l’ANSSI[3] relève que les méthodes employées par les cybercriminels ont connu des évolutions notables : le recours aux campagnes massives de rançonnage reposant exclusivement sur l’exfiltration de données (sans déploiement de rançongiciel) s’inscrit sur le long terme dans la pratique des cybercriminels. Dans le même temps, l’ANSSI remarque que « l’exploitation de plusieurs vulnérabilités jour-zéro ou jour-un par le groupe cybercriminel CL0P 15[4] illustre la capacité de groupes cybercriminels matures à conduire des attaques à grande échelle en ciblant des logiciels d’entreprises susceptibles d’héberger des données sensibles »[5].

  • Rappel du cadre légal : les sanctions encourues

Lorsque les données exposées au bon vouloir des cybercriminels sont à caractère personnel, plusieurs textes normatifs interviennent pour encadrer la responsabilité de ceux à qui revient l’obligation de protection.

Les premiers réflexes en application du RGPD sont primordiaux : il est nécessaire de tenir à jour la documentation interne sur la violation des données, de notifier à la CNIL cette violation dans les 72 heures, en sus d’un dépôt de plainte, et d’informer les personnes concernées en cas de risque élevé. Ce protocole d’information permettra notamment d’éviter le « suraccident » en élevant la vigilance des personnes concernées dont les données personnelles risquent d’être réutilisées à des fins d’hameçonnage (phishing) ou d’usurpation d’identité.

Il ne faut pas oublier que la CNIL peut accompagner les entreprises victimes de cyberattaques dans cette phase en les aidant à minimiser ou à mettre fin à la violation des données personnelles. Elle est néanmoins également un organe de contrôle : si son examen souligne un protocole de réaction non-adéquat à la violation de données personnelles ou, en amont, des mesures techniques et organisationnelles de sécurité insuffisantes (art. 32 du RGPD), elle est en mesure d’engager la responsabilité du responsable de traitement voire de son sous-traitant. Plus précisément, la CNIL a le pouvoir de prononcer une sanction pécuniaire pouvant atteindre la somme maximale de 20 millions d’euros ou, dans le cas d’une entreprise, de 4 % du chiffre d’affaires annuel mondial. En 2023, 9 sanctions ont été prononcées par la CNIL en raison notamment d’un manquement aux obligations de sécurité, portant, à titre d’exemple, à 32 millions d’euros la sanction imposée à la société AMAZON FRANCE LOGISTIQUE[6]. Elle a par ailleurs le pouvoir de limiter ou de mettre fin définitivement à un traitement ou, moins sévèrement, de prononcer une astreinte contraignant l’entreprise à réaliser les démarches de mise en conformité dans un certain laps de temps.

Toujours en application du RGPD, la responsabilité civile[7] ou pénale du responsable de traitement pourra également être engagée : « procéder ou faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux art. 24, 25, 30 et 32 » du RGPD expose en effet son responsable à cinq ans d’emprisonnement et à 300 000 euros d’amende (art. 226-17 du Code pénal). Qu’il s’agisse ou non de la même personne, la responsabilité pénale ou civile (art. 1240 du Code civil) du dirigeant est également susceptible d’être soulevée dans le cas où un manquement à une obligation légale ou une faute de gestion mettant l’entreprise en difficulté financière (art. L.651-du Code de commerce) pourrait lui être imputé.

Enfin, à la suite de l’adoption de la Directive NIS 2[8], qui doit être transposée par la France avant le 17 octobre 2024, des mesures correctives et sanctions administratives pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pourront être prononcées par l’ANSSI à l’encontre des « opérateurs de services essentiels » qui ne mettraient pas en place les mesures préventives de renforcement des réseaux informatiques prévues par la Directive NIS 2 (art. 34)  dans le cas où la CNIL ne serait pas déjà intervenue en vertu du RGPD (art. 35). Cette Directive étendra le périmètre d’application des exigences en matière de cybersécurité de la Directive NIS 1 à plus de 10000 entités et 18 secteurs d’activité (santé, transports, infrastructures numériques[9], gestion, des services TIC…).

  • Notre accompagnement

Face au risque croissant de fuite de données personnelles, mieux vaut prévenir que guérir : authentification forte, cryptographie (chiffrement des données, signature numérique et hachage), sécurisation des sites internet exploités mais aussi protocoles rigoureux et formation des employés sont autant de moyens permettant d’assurer une protection efficiente des données et donc d’échapper à une mise en cause de sa responsabilité. La mise en conformité ne saurait donc se limiter à une action ponctuelle, elle doit être insufflée à tous les niveaux de chaque entité et évoluer avec elle au fil du temps, des outils utilisés (notamment liés à l’intelligence artificielle générative), des usages et de son activité. 

L’équipe d’ALERION est à vos côtés pour vous accompagner dans la mise en œuvre des aspects juridiques et organisationnels de la protection cyber de votre structure (i.e. politique de sécurité des systèmes d’information, charte informatique, audit, sensibilisation adaptée…) ainsi que dans la mise en conformité au RGPD qui lui est intimement liée.

Plus encore, l’équipe d’ALERION saura vous conseiller dans la mise en place d’une protection juridique efficiente des actifs de votre entreprise face aux risques cyber, les cyberattaquants ayant compris la valeur du patrimoine informationnel dont peuvent disposer leurs victimes (savoir-faire, droits de propriété intellectuelle, secret des affaires …).

Par Corinne Thiérache, Avocat Associée, et Romane Cussinet, Élève-avocate des départements Propriété intellectuelle, Droit des technologies et du numérique et Protection des données personnelles du cabinet Alerion Avocats


[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), entré en application le 23 mai 2018

[2] Commission de l’intelligence artificielle, IA : notre ambition pour la France, mars 2024

[3] Agence nationale de la sécurité des systèmes d’information

[4] ANSSI, Rapport sur l’exploitation d’une vulnérabilité affectant MOVEit par le groupe cybercriminel CL0P, 5 juillet 2023. NB : MOVEit est une solution logicielle offrant un transfert sécurisé de fichiers

[5] ANSSI, Panorama de la cybermenace, 2023

[6] Délibération de la formation restreinte n°SAN-2023-021 du 27 décembre 2023 concernant la société AMAZON FRANCE LOGISTIQUE

[7] Article 82 du RGPD prévoyant le droit à réparation de la personne ayant subi un préjudice en raison de la violation du Règlement

[8] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (dite « NIS 2 ») modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (Texte présentant de l’intérêt pour l’EEE)

[9] Exemples : services d’informatique en nuage, centres de données, réseaux de communications électroniques