.

Votre assureur protège votre vie privée

Lorsque vous naviguez sur notre site, Groupama Assurances Mutuelles recueille des informations pour en mesurer l’audience, améliorer votre expérience et vous présenter des offres personnalisées. Avec votre accord, nous les utiliserons à des fins de suivi statistique intersites, de recoupement avec nos bases de données internes, de publicité ciblée, de campagnes Marketing et permettre le partage de contenu vers les réseaux sociaux.

Vous pouvez changer d’avis à tout moment en cliquant sur "Gérer mes cookies" en bas de chaque page.

Immersive - Protection des données personnelles - GI : Marco VDM

Protection des données personnelles : un risque lourd de conséquences votre entreprise

Contenu mis à jour le 15/04/2024 - Partager l'article
twitter-pictofacebook-picto

Le nombre d'attaques cyber atteint un niveau inégalé. Les TPE/PME et les professionnels ne sont pas épargnés. Toutes les entreprises gérant des fichiers contenant des données personnelles sont vulnérables et doivent assurer la protection de ces données, conformément au Règlement Général sur la Protection des Données (RGPD). Chef d’entreprise, faites le point sur vos obligations, les risques encourus et les principales actions à déployer pour assurer la sécurité des données personnelles que vous traitez dans le cadre de votre activité.

Données personnelles et RGPD : de quoi s’agit-il ?


Toute information se rapportant à une personne physique, identifiée ou identifiable, est une donnée personnelle. Une personne peut être identifiée :

  • directement, par exemple par son nom et son prénom ;

  • indirectement, par un identifiant (n° de client, n° de téléphone, n° de Sécurité sociale), une donnée biométrique, des éléments spécifiques à son identité physique, génétique… ou le croisement de plusieurs données (adresse postale, date de naissance, etc.)(1).

Les données personnelles peuvent avoir un caractère sensible, comme c’est le cas lorsqu’il s’agit de données relatives à la santé d’une personne. Les données personnelles traitées par les entreprises peuvent être celles de clients et prospects, mais aussi celles de salariés et fournisseurs.


Un traitement de données personnelles est une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition...


Afin de garantir le respect de la vie privée des personnes, les données personnelles font l'objet d'une protection particulière par la loi.

Ce que dit le RGPD


L’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a renforcé les obligations en matière de protection des données personnelles. Tous les organismes (privés et publics) doivent mettre en place une organisation adaptée à leur taille et aux risques liés aux traitements des données personnelles qu’ils mettent en œuvre. Ces risques sont évalués en fonction des traitements réalisés, du volume des données personnelles traitées ou encore de leur sensibilité.

Le RGPD, qui harmonise au niveau européen la réglementation sur la protection des données personnelles, a pour objectif de protéger les personnes physiques à l’égard du traitement de leurs données personnelles, en particulier contre la collecte de leurs données à leur insu.


Chef d’entreprise, le RGPD s’applique ainsi dès lors que(1) :

  • votre entreprise, établie sur le territoire de l’Union Européenne, met en œuvre un traitement de données personnelles pour son propre compte, en définit les objectifs et les moyens ;

  • votre entreprise, établie sur le territoire de l’Union Européenne, réalise un traitement de données à caractère personnel pour le compte d’un autre organisme, en qualité de sous-traitant au sens du RGPD ;

  • votre entreprise fait appel à un sous-traitant établi sur le territoire de l’UE pour traiter des données personnelles ;

  • les activités de traitement sont liées à une offre de biens ou de services à destination de personnes situées sur le territoire de l’UE ou au suivi du comportement de personnes situées sur le territoire de l’UE, si votre responsable du traitement de données ou votre sous-traitant ne sont pas établis sur le territoire de l’UE.



Quelles sont vos obligations au titre du RGPD ?


Qu’elle agisse en qualité de responsable de traitement ou de sous-traitant, votre entreprise est soumise à̀ une obligation de protection des données personnelles qu’elle traite.

Pour vous mettre en conformité avec le RGPD, vous devez mettre en œuvre une organisation adaptée à̀ la taille de votre entreprise et à la sensibilité des données personnelles traitées. Il vous incombe notamment de :

  • Mettre en place une gouvernance et de désigner un Délégué à la Protection des données (DPO), si vous traitez des données sensibles ou si votre activité vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle. Si ce n’est pas le cas de votre entreprise, la Commission Nationale de l’Informatique et des Libertés (CNIL) recommande également fortement la désignation d'un DPO.

  • Ne collecter que les données vraiment nécessaires à l’atteinte de vos objectifs.

  • Tenir un registre listant les traitements de données et permettant de démontrer votre conformité au RGPD. Ce registre doit recenser, entre autres : les objectifs poursuivis par chaque traitement ; les catégories de personnes concernées et de données utilisées et à qui elles sont communiquées ; les durées de conservation de ces données ; les mesures de sécurité envisagées et, le cas échéant, les transferts de données à caractère personnel en dehors de l’UE ou à une organisation internationale.

  • Faire régulièrement le tri dans les données que vous traitez selon leur pertinence, leur nature, les personnes y ayant accès, leur durée de conservation…

  • Toujours respecter les droits des personnes concernées par le traitement de données personnelles, en les informant notamment des conditions d’utilisation et en leur permettant d’exercer le plus simplement possible leurs droits (d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation, en fixant notamment les durées de conservation des données).

  • Sécuriser les données par la mise en œuvre de mesures techniques et organisationnelles : charte informatique ; protection de votre site Internet, de vos comptes et profils utilisateurs ; mise en place et gestion des habilitations ; procédures de sauvegardes régulières et de récupération des données, sécurisation physique des données contenues dans des documents papier…

  • Prendre en compte les enjeux liés à la protection des données dès la phase de conception du produit ou du service et par défaut



Les risques encourus


En cas de non-respect du RGPD


En cas de manquement aux obligations du RGPD dans le cadre de votre activité, la CNIL peut prononcer l’une ou plusieurs des mesures suivantes :

  • Un rappel à l'ordre ;

  • Une injonction de se mettre en conformité. Cette injonction peut être assortie d'une astreinte dont le montant est plafonné à 100 000 € par jour de retard(2);

  • Une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaires annuel mondial ;

  • Une limitation temporaire ou définitive du traitement des données, son interdiction ou le retrait d'une autorisation ;

  • Le retrait d'une certification ;

  • La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

  • Une suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes (BCR).

Au-delà, votre entreprise risque également :

  • Une sanction pénale pouvant atteindre 300 000 € (pour les personnes physiques) ou 1,5 million d’euros (pour les personnes morales) et 5 ans d’emprisonnement(3).

  • Le mécontentement des personnes concernées (clients, salariés, fournisseurs…) : de manière générale, elles sont de plus en plus sensibilisées sur les traitements de leurs données personnelles et les risques qu’ils peuvent engendrer pour leurs droits et libertés. Elles n’hésitent plus à interroger les organismes sur la manière dont sont traitées leurs données personnelles et à exprimer publiquement leur mécontentement, voire à saisir la CNIL.

  • Un préjudice d’atteinte à l’image et à la réputation : l’image d’une entreprise ne respectant pas ses obligations en matière de protection des données personnelles peut être fortement entachée dans l’espace public (médias, réseaux sociaux…).


En cas de cyberattaque et de violation des données personnelles


Votre entreprise est victime d’une cyberattaque et des données personnelles ont été détruites, perdues, altérées, volées ou divulguées ? Cet incident constitue une « violation de données ».

Si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées, vous devez la signaler à la CNIL dans les 72 h. En cas de risques élevés pour ces personnes, vous devez les en informer.


L’impact d'une attaque cyber peut s’avérer extrêmement préjudiciable. La Responsabilité Civile de votre entreprise peut être engagée en cas de « faille de sécurité » entraînant la destruction, la perte, la modification indue ou falsification, la divulgation ou l’accès non-autorisé à des données à caractère personnel lors de leur traitement. Toute personne ayant subi un dommage matériel, une perte financière et/ou un préjudice moral du fait d’une atteinte à ses données personnelles peut vous demander un dédommagement au titre de la Responsabilité Civile de votre entreprise.


Outre cette mise en cause, une cyberattaque avec violation de données personnelles peut fortement impacter l’image et la réputation de votre entreprise, occasionner une perte de chiffre d’affaires conséquente et de forts préjudices économiques pouvant aller jusqu'à l'arrêt total de votre activité. Une perte de la valeur patrimoniale et un risque accru de défaillance sont également à craindre.

À savoir

60 % des TPE/PME victimes d’une cyberattaque font faillite dans les 18 mois(4).

Comment assurer la sécurité du traitement des données personnelles ?


Pour renforcer la sécurité des données personnelles que vous traitez, il vous incombe de :

  • Recenser l’ensemble des traitements de données à caractère personnel au sein de votre entreprise ;

  • Apprécier les risques engendrés pour chaque traitement (accès illégitime, modification non désirée ou disparition des données) ;

  • Identifier les sources ou menaces de risques (sources humaines interne ou externe, source accidentelle ou malveillante, sources non humaines) ;

  • Mettre en œuvre les mesures de sécurité appropriées pour garantir la disponibilité, la confidentialité et l’intégrité des données personnelles ;

  • Minimiser les risques de pertes ou de piratage grâce à l’adoption de mesures de prévention adaptées;

  • Supprimer les données personnelles qu’il n’est plus nécessaire de traiter (expiration des durées de conservation, données devenues obsolètes ou non nécessaires au traitement…).

Pour chaque traitement de données personnelles, il convient ainsi de répondre aux questions(5) :

  • Qui ? Identifiez les responsables des services opérationnels traitant les données et établissez la liste de vos sous-traitants ;

  • Quoi ? Identifiez les opérations de traitement réalisées ainsi que les catégories de données traitées, en particulier les données susceptibles de soulever des risques en raison de leur sensibilité (par exemple, des données relatives à la santé) ;

  • Pourquoi ? Indiquez la ou les finalités pour lesquelles vous collectez ces données (par exemple, une relation commerciale) ;

  • Où ? Déterminez les lieux où sont stockées les données et indiquez le pays vers lesquels elles sont éventuellement transférées ;

  • Combien de temps ? Indiquez le temps de conservation des données et prévoyez de purger les données une fois ces durées de conservation arrivées à échéance ;

  • Comment ? Précisez les mesures de sécurité mises en œuvre pour minimiser les risques ;

  • Quelles personnes concernées ? Vérifiez que les personnes concernées ont bien été informées des traitements effectués sur leurs données personnelles et des droits dont elles disposent.



Mise en cause de votre Responsabilité Civile suite à une violation de données personnelles : l’accompagnement de Groupama


Dirigeant, si vous exploitez des données à caractère personnel et que vous êtes victime d’une cyberattaque, vous pourriez être contraint d’indemniser vos clients et/ou fournisseurs en cas de violation de ces données.

Face à ce risque, notre assurance Cyber Up vous protège. La garantie « Cyber Responsabilité », incluse dans notre contrat d’assurance, couvre notamment les frais de défense et conséquences pécuniaires de la Responsabilité Civile en cas de réclamation d’un tiers pour soustraction frauduleuse des données à caractère personnel placées sous votre garde.

En cas d’attaque informatique, avec la garantie « Gestion de crise » prévue au contrat, vous êtes également accompagné par une équipe de consultants juridiques (qui vous aident à répondre à vos obligations réglementaires) et d’experts en cybersécurité (qui établissent avec vous un diagnostic afin de prendre les mesures d’urgence nécessaires).

Assuré Groupama

En cas d’incident ou d’acte de malveillance occasionnant une violation de données personnelles, contactez sans délai votre conseiller Groupama, il saura vous conseiller et vous accompagner.

Nos conseillers à l'écoute pour vous aider

  • Cybersécurité-rebond

    Entreprises

    Cyber assurance

    Avec notre assurance cyber risques, protégez l’activité de votre entreprise contre les conséquences des atteintes à vos données et systèmes d’information.

    Découvrir notre offre

Mentions légales et informatives

Pour les conditions et les limites des garanties et des services présentés, se reporter au contrat ou voir auprès de votre conseiller Groupama.

(1) Source : MEDEF « Guide pratique sur la protection des données personnelles » - 2018.
(2) Source : Décret n° 2022-517 du 8 avril 2022 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés – Légifrance.
(3) Selon l’article 226-22-1 du Code pénal.
(4) Selon le Rapport d'information du Sénat n° 678 (2020-2021), déposé le 10 juin 2021.
(5) Source : CNIL – Guide pratique de sensibilisation au RGPD.
bot placeholder

Aide et contact

Je réponds à vos questions