Les entreprises collectent pour leur fonctionnement une multitude de données personnelles, sur leurs clients mais aussi sur leur personnel. Ces données RH peuvent être sensibles et doivent donner lieu à une protection spécifique contre la fuite de données. Outre le risque juridique lui-même, il convient d’anticiper cette problématique pour limiter son impact.
Qu’est-ce que la fuite de données RH ?
Pour fonctionner et remplir leurs obligations les entreprises sont amenées à conserver des informations relatives à la paie, l’adresse, le numéro de compte bancaire mais aussi parfois l’état de santé, la situation familiale… autant de données très sensibles qui peuvent causer des dommages aux salariés en cas de divulgation (vol au domicile, usurpation d’identité, phishing, atteinte à la réputation, etc.).
Une fuite de données survient lorsqu’un incident de sécurité (accidentel ou non) permet à des personnes non autorisées d’accéder à des données confidentielles. La violation de données à caractère personnel est définie par l’article 4.12 du Règlement Général sur la Protection des Données (RGPD) comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. Pour y faire face, les entreprises doivent s’intéresser aux solutions juridiques et techniques qui peuvent être mises en place pour anticiper et pallier la survenue de tels incidents.
Fuite de données : quels risques pour l’entreprise et ses salariés ?
Lors de manquement aux dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions pécuniaires pouvant s’élever jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise. Il existe également des peines alternatives pouvant être prononcées par la CNIL comme le rappel à l’ordre ou l’obligation de se mettre en conformité assortie d’une astreinte pouvant aller jusqu’à 100 000 € par jour de retard (article 20-III Loi Informatique et Liberté). La sanction peut également être rendue publique et ainsi impacter considérablement la réputation de l’entreprise. Un salarié peut également voir sa responsabilité personnelle directement engagée s’il a agi en dehors de ses fonctions sans autorisation ou des fins étrangères à ses attributions.
Il existe bien évidemment des assurances qui proposent de garantir le remboursement des sanctions administratives légalement assurables, prononcées par une autorité administrative, qui sont la conséquence directe d’une « Atteinte aux informations » ou d’un « vol de données personnelles », dans la limite des garanties souscrites.
Attention toutefois, ces garanties ne couvrent pas l’entièreté du dommage qui peut être causé à l’entreprise mais aussi aux salariés notamment sur le plan de l’image. S’agissant du salarié, ce dernier peut voir son employabilité atteinte par la fuite de ses données RH. L’employabilité représente en effet la capacité du salarié à obtenir ou à conserver un emploi, dans sa fonction actuelle ou dans une autre, à son niveau de classification ou à un autre équivalent, et dans son entreprise ou dans une autre. Si son salaire est dévoilé, il pourra par exemple avoir plus de difficultés à négocier une augmentation s’il souhaite changer d’entreprise. Par ailleurs, la fuite de données RH peut porter considérablement atteinte à l’image de marque, à la réputation de l’entreprise et à sa capacité à attirer des candidats.
Fuite de données à caractère personnel : distinguer le responsable de traitement et son sous-traitant ?
Pour déterminer la responsabilité de l’entreprise, il convient tout d’abord de distinguer le responsable de traitement des données du sous-traitant au sens de la directive 95/46/CE Une telle distinction ne dépend pas d’une désignation contractuelle mais des éléments factuels. Concernant le responsable de traitement, il peut s’agir d’une personne physique ou morale, de l’autorité publique, du service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Concernant le sous-traitant, il peut également s’agir de la personne physique ou morale, l’autorité publique, du service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. La notion de sous-traitance dans le contexte de la protection des données à caractère personnel ne doit pas être confondue avec la notion générale de sous-traitance utilisée en matière contractuelle.
Afin d’assurer une certaine prévisibilité de la responsabilité, la CNIL éclaire les contours de ses deux notions dans son avis 1/2010 pour guider et simplifier l’application de la législation en matière de protection des données. Dans cet avis, elle précise que la responsabilité du traitement des données peut découler d’une compétence implicite, par exemple, l’employeur pour les informations sur ses salariés.
La loi Informatique et Liberté continue de s’imposer au responsable de traitement en cas de recours à un sous-traitant (type SSI). Le responsable de traitement doit notamment s’assurer que le sous-traitant présente des garanties pour assurer la mise en œuvre des mesures de sécurité et de confidentialité (article 34 Loi Informatique et Liberté). A noter que cette exigence ne décharge par le responsable de traitement de l’obligation de veiller au respect de ces mesures.
La responsabilité du sous-traitant
Faute de ressources internes suffisantes, la plupart des entreprises font appel aujourd’hui à des prestataires pour la maintenance de leur système d’information. Ces prestataires de services agissent en tant que sous-traitants. Le prestataire peut être chargé de la maintenance totale ou partielle des politiques de sécurité et il peut être le fournisseur d’accès (FAI ou opérateur) ou une société spécialisée dans le service informatique. Ces prestataires interviennent directement dans le système informatique des entreprises, ils sont donc exposés à une éventuelle perte ou altération des données des salariés.
Attention toutefois, le sous-traitant ne peut être qualifié de responsable de traitement que s’il a lui-même décidé en amont des finalités et moyens du traitement mis en œuvre (lignes directrices 07/2020). Dans ce cadre, la responsabilité civile professionnelle du prestataire peut être engagée par l’entreprise ou directement par le salarié lésé. Le RGPD est applicable à tout sous-traitant SSI basé en France ou agissant pour le compte d’une entreprise basée en France (article 3 RGPD).
L’article 28 du RGPD impose que le responsable de traitement et le sous-traitant soient liés par un contrat régissant le traitement des données à caractère personnel (contrat d’externalisation) effectués par le sous-traitant. Celui-ci contient entre autre :
Une clause de confidentialité des données qui seront transmises au sous-traitant ;
Les prestations auxquelles s’engagent le sous-traitant ;
L’obligation de moyen ou de résultat ;
Les éventuelles pénalités en cas de non respect de ses obligations ;
L’étendue de la responsabilité.
Le sous-traitant est tenu de respecter les instructions du responsable de traitement (article 29 RGPD) ainsi que d’assurer la sécurité des données personnelles (article 32 RGPD). La responsabilité du sous-traitant ne pourra être engagée que lorsqu’il manque à ses obligations.
Fuite de données à caractère personnel : qui est responsable de quoi au sein de l’entreprise ?
Au sein d’une entreprise, le responsable de traitement est le plus souvent le chef d’entreprise. En sa qualité d’employeur, il sera alors considéré comme responsable des données de ses salariés et en cas de non-respect des exigences RGPD il pourra être poursuivi personnellement. L’employeur a toutefois la possibilité de déléguer cette responsabilité, le plus souvent au DRH ou au responsable des systèmes informatiques (DSI). Dans certains cas, la responsabilité du traitement des données pourra être conjointe.
Le transfert de responsabilité est conditionné par un certain nombre de critères cumulatifs fixés par la jurisprudence :
Le transfert de responsabilité doit être nécessaire au regard de la taille de l’entreprise. Par exemple, si la taille de l’entreprise ne permet pas au chef d’entreprise un encadrement ou une surveillance de toute l’organisation.
Le transfert doit être bornée à un domaine de compétence déterminé.
La compétence doit être concédée à un subordonné
Le titulaire de la délégation doit être pourvu de la compétence, de l’autorité et des moyens nécessaires à l’accomplissement de sa mission, tant sur le plan matériel, qu’humain, financier ou technique.
Moyens et devoirs à la disposition du responsable de traitement
Si le responsable de traitement peut en principe avoir accès au Système d’Information, il ne doit pourtant accéder qu’aux données informatiques nécessaires à l’accomplissement de sa mission et en assurer la confidentialité. La démarche doit être impartiale et sincère. Il doit agir dans le cadre de ses fonctions et son action ne doit pas découler d’une initiative personnelle ou d’un ordre hiérarchique mais d’une nécessité justifiée par des impératifs de sécurité. Par exemple, il n’y a pas lieu pour l’administrateur réseau de contrôler le contenu même des messages émis ou reçus si le seul contrôle du volume des pièces jointes ou des extensions des fichiers joints lui permet de vérifier l’utilisation optimale du réseau.
Le responsable de traitement a le devoir de respecter les dispositions légales et réglementaires concernant le système d’information et doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.
Les personnels, qu’ils soient administrateurs, directeurs ou responsables de la sécurité des systèmes d’information peuvent voir leur responsabilité mise en jeu pour les fautes qu’ils commettraient à titre personnel.
Quelle conduite à tenir en cas de fuite de données des salariés ?
Selon l’article 33.1 du RGPD, en cas de violation de données à caractère personnel, le responsable de traitement en notifie la violation à l’autorité de contrôle compétente conformément à l’article 55 dans les meilleurs délais et, si possible 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. L’article33.2 du RGPD énonce des obligations similaires pour le sous-traitant.
En cas d’absence de notification par le responsable de traitement d’une violation de données à caractère personnel à la CNIL (article 226-17-1 Code pénal) la peine encourue est de 5 ans d’emprisonnement et de 300 000€ d’amende.
Enfin, il convient en outre de rappeler que chaque salarié contribue à son niveau à la sécurité informatique de son entreprise et se doit à ce titre de signaler au service informatique et/ou à son responsable hiérarchique tout dysfonctionnement avéré et tout événement lui apparaissant anormal.
Fuites de données à caractère personnel : quelles précautions prendre dans l’entreprise ?
Les entreprises peuvent souscrire une assurance responsabilité civile professionnelle dédiée, couvrant les failles de sécurité informatique d’origine accidentelle ou due à une cyberattaque. En parallèle, et au-delà de ces mécanismes juridiques, une revue des process et mesures de sécurité internes est à envisager afin de prévenir et de diminuer l’ampleur d’une éventuelle fuite de données :
Améliorer la conformité RGPD du système d’information de l’entreprise (collecter le minimum de données nécessaires pour le traitement de l’information, veiller aux délais légaux de conservation des données). Il est aussi nécessaire de s’assurer du respect du RGPD par le sous-traitant SSI.
Déterminer le degré de sensibilité des différentes données et attribuer des droits d’accès différents en fonction des rôles et des responsabilités.
Les grandes entreprises ont tout intérêt à recruter un Délégué à la Protection des Données (DPO) en interne à temps plein. Pour les entreprises de plus petite taille (les PME), il est généralement conseillé d’externaliser la fonction de DPO par exemple à un avocat.
Pour intervenir plus rapidement en cas de fuite de données, les entreprises peuvent recourir à une recherche sur Internet de fuites d’informations (RIFI). Une RIFI permet de détecter une fuite de données en analysant le web de façon automatisée, afin de vérifier si des informations personnelles ont été rendues publiques. Ce type d’opération est réalisé par des entreprises spécialisées.
Le responsable de traitement doit également informer, former, conseiller, alerter les acteurs de l’organisation sur tout ce qui concerne la sécurité du système informatique et les risques encourus (atteinte aux fichiers, captation de données à caractère personnel ...).
Il est enfin fortement conseillé de mettre en place une charte informatique. La charte informatique doit être annexée soit au règlement intérieur de l’entreprise soit au contrat de travail de chaque salarié. Lorsque la charte est annexée au règlement intérieur, cela lui donne une valeur d’acte réglementaire et donc une plus grande effectivité.
Yann-Maël Larher
Docteur en droit social - relations numériques de travail.
Avocat cofondateur Legalbrain
https://legalbrain-avocats.fr
https://yml-avocat.fr
contact@yml-avocat.fr
Pas de contribution, soyez le premier