Suite à la concrétisation d’un événement redouté, atteinte au système et/ou aux données, l’entreprise va devoir engager une série de frais destinés à déterminer la cause de l’événement et l’étendue de ses dégâts afin de remédier dans un premier temps à la problématique opérationnelle engendrée par l’incident (§1). Par ailleurs, une bonne communication de l’entreprise suite à une atteinte est primordiale, et pour ce faire elle pourra se tourner vers des professionnels (§2).
En cas d’atteinte aux données personnelles, certaines entreprises sont en outre assujetties par la loi Informatique et Libertés(120) à une obligation de notification de l’incident à la CNIL et aux personnes concernées (§3). Cette obligation nous occupera plus longuement car elle est récente et nécessite quelques précisions. En outre, si elle ne pèse aujourd’hui que sur les fournisseurs d’accès internet, elle est appelée à s’étendre prochainement à toute entreprise. Il s’agit donc d’un poste de dépense en puissance pour les entreprises françaises.
D’autres coûts sont encore à craindre, et nous les évoquerons plus brièvement non pas parce qu’ils ne sont pas importants mais parce qu’ils ne nécessitent pas de développements poussés pour les mesurer (§4).
§1 : Recherche de la cause et rétablissement opérationnel du système
Lorsqu’une atteinte à son système d’information et/ou aux données qu’il contient est constatée ou seulement suspectée, l’entreprise va tout d’abord chercher la cause de l’incident afin de comprendre ce qui s’est passé et de mesurer l’importance de l’atteinte. Pour cela, l’entreprise sera contrainte le plus souvent de faire appel à un expert en informatique, à moins d’avoir en interne un personnel suffisamment qualifié pour déterminer l’origine et l’étendue de l’atteinte au système et aux données.
En cas d’atteinte supposée ou avérée à des données personnelles, l’entreprise pourra même être contrainte de réaliser de telles investigations du fait des dispositions de la loi Informatique et Libertés, dans le cadre d’une enquête ou d’une procédure administrative menée par la CNIL à l’encontre de l’entreprise.
Une fois la cause et l’ampleur de l’atteinte déterminées, l’entreprise va devoir y remédier. Si l’incident a eu pour conséquence un dysfonctionnement ou une indisponibilité du système, il faut le rendre à nouveau opérationnel. Là encore, l’entreprise devra en principe faire appel à un expert ou prestataire capable de rétablir le fonctionnement du système. S’agissant d’un virus par exemple, une opération de décontamination est nécessaire. Il faudra peut-être aussi racheter et réinstaller certains programmes disparus et rétablir des fonctionnalités supprimées.
En outre, les données perdues ou volées devront le cas échéant être restaurées. Pour cela l’entreprise devra avoir préalablement identifié les données touchées d’une part, et rassemblé tous les éléments de sauvegarde ou copies des informations perdues dont elle dispose afin de les reconstituer, d’autre part. En l’absence de sauvegarde informatique, la tâche se révélera extrêmement ardue. L’entreprise n’aura d’autre solution que de ressaisir manuellement la totalité des données, tâche bien fastidieuse qui nécessitera du personnel et beaucoup de temps. Il est néanmoins très rare aujourd’hui que les entreprises qui recourent à l’informatique n’aient pas de politique de sauvegarde de leurs données. Ce qui est moins rare en revanche, c’est la survenance de dysfonctionnements dans les procédures de sauvegardes causant leur perte ou leur indisponibilité au moment où l’entreprise en a besoin. De plus, la fréquence des sauvegardes peut ne pas être très soutenue et l’entreprise pourrait se retrouver sans aucun support numérique pour les données les plus récentes. C’est pourquoi une bonne pratique peut consister en un test réel et régulier des sauvegardes.
En parallèle de ces premières dépenses d’investigation et de rétablissement opérationnel du système, l’entreprise doit aussi se montrer réactive et adopter une communication adéquate dès l’incident afin de préserver son image.
§2 : Atteinte à la réputation : frais de communication et de relations publiques
L’une des conséquences immédiates d’une atteinte à la sécurité du système d’information est l’impact négatif sur la réputation de l’entreprise. Que l’incident ait une origine malveillante ou non, sa seule survenance ternit l’image de l’entreprise dont on pensera qu’elle n’est pas fiable. S’il s’agit d’une cyber-attaque, beaucoup estimeront que l’entreprise n’a pas pris les mesures de sécurité nécessaires, et si c’est une erreur humaine, que son personnel n’est pas suffisamment consciencieux.
Les entreprises n’ont aucune maîtrise sur l’opinion que pourront se faire les uns et les autres, d’autant que les médias peuvent relayer des informations fausses que le grand public ne prendra pas la peine de vérifier. Cette difficulté à appréhender et à mesurer l’atteinte à la réputation ainsi que les conséquences financières finales qu’elle peut générer (perte de clientèle, perte de chiffre d’affaires), expliquent sans doute sa première place au classement des craintes exprimées par les entreprises face au cybercrime(121).
L’entreprise n’est toutefois pas totalement impuissante face à ce type d’impact, qu’elle peut au moins limiter en adoptant dès la survenance de l’incident une communication adéquate. Mais cet exercice s’avère délicat pour certaines entreprises qui peuvent se montrer trop alarmistes ou à l’inverse trop obscures, voire cacher totalement la situation alors même que des données personnelles ont été touchées. Afin de ne commettre aucun impair et de ne pas aggraver la situation, les entreprises peuvent choisir de recourir aux conseils de professionnels des relations publiques. Naturellement cela a un coût, mais au vu des enjeux, l’aide de ces consultants peut s’avérer rentable.
En cas d’atteintes aux données personnelles, d’autres dépenses de communication peuvent être supportées par les entreprises. Elles sont la conséquence d’une obligation récemment imposée par la loi Informatique et Libertés dans une optique de transparence et de protection des droits fondamentaux : l’obligation de notification des atteintes aux données personnelles. Elle aurait pu être abordée dans le premier chapitre sur les responsabilités, puisqu’elle s’applique à certains responsables de traitement au sens de la loi. Néanmoins, nous choisissons de l’aborder dans la partie dommages car elle représente concrètement et immédiatement une dépense pour l’entreprise assujettie. Les coûts afférents peuvent même être très lourds, s’agissant d’une atteinte impactant un très grand nombre de données.
§3 : Obligation de notification
Afin de mesurer la portée de cette nouvelle obligation de notification, nous évoquerons d’abord le contexte de son adoption (A) avant d’en définir le champ d’application (B), le contenu (C) et les conséquences financières concrètes (D).
A) Contexte
La Californie fut le premier Etat à imposer une telle obligation par une loi du 12 février 2002. A l’origine de cette législation, un incident de sécurité dans l’administration ayant causé la divulgation de données de salaire de 200 000 fonctionnaires.
Le California Security Breach Act, entré en vigueur en juillet 2003, impose à toute entité possédant des données personnelles la révélation de tout incident de sécurité aux personnes concernées (« data breach notification »). La violation de la sécurité des données étant entendue comme l’obtention non-autorisée de données personnelles informatisées de nature à compromettre leur sécurité, leur confidentialité ou leur intégrité. Cette notification doit être opérée le plus rapidement possible à compter de la découverte de l’atteinte aux données.
Suite à cette législation californienne, la quasi-totalité des Etats américains ainsi que de nombreux autres pays ont adopté une législation similaire. L’Europe et la France ont récemment suivi ce mouvement avec l’adoption du « Paquet Télécom ».
Dans l’Union Européenne, les communications électroniques sont encadrées par le « Paquet Télécom » adopté en 2002 et formé de cinq directives différentes. Des modifications ont été apportées à ces dispositions par le biais de deux directives du 25 novembre 2009 qui introduisent une obligation de notification des violations de sécurité des données à caractère personnel pour les fournisseurs de services de communications électroniques(122).
Ces dispositions ont été transposées en droit français par l’ordonnance n° 2011-1012 du 24 août 2011, publiée au Journal Officiel le 26 août 2011. Elle modifie le Code des postes et des communications électroniques, le Code de la consommation, le Code pénal et la loi Informatique et Libertés, ce qui nous intéresse plus particulièrement. Les mesures ainsi transposées prévoient principalement le renforcement des droits des internautes et parallèlement l’intensification des obligations des fournisseurs de services de communications électroniques.
Ainsi, le nouvel article 34 bis de la loi Informatique et Libertés impose désormais une obligation de notification à la charge des fournisseurs de services de communications électroniques en cas de violation de données personnelles. Il convient d’en déterminer le champ d’application.
B) Champ d’application
Afin de mesurer la portée de cette obligation, plusieurs notions doivent être précisées. Pour qu’il y ait violation de données personnelles et donc obligation de notification, il faut qu’il y ait un traitement de données à caractère personnel mis en oeuvre par un fournisseur de services de communications électroniques dans le cadre de son activité. Le traitement de données à caractère personnel a fait l’objet de développements plus haut(123), il convient donc de s’attacher à la notion de fournisseur de services de communications électroniques, débiteur de cette obligation (1), avant de définir les violations visées par le législateur (2).
1) Définition des fournisseurs de services de communications électroniques
Nous envisagerons le droit actuel (a) mais aussi les évolutions probables de la législation, s’agissant des débiteurs de l’obligation de notification (b).
a) Le droit actuel
A la différence des législations américaines, l’obligation de notification imposée par ce nouveau texte français est limitée aux violations dont le responsable est un fournisseur de « services de communications électroniques accessibles au public ». La loi Informatique et Libertés ne donnant pas plus de précisions sur cette notion, nous nous tournons vers le Code des postes et des communications électroniques. Mais l’article L32-6° de ce code définit les « services de communications électroniques » comme « les prestations consistant entièrement ou principalement en la fourniture de communications électroniques » et précise que « ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique », ce qui ne nous éclaire pas davantage.
Si les fournisseurs d’accès internet (FAI) et / de téléphonie sont incontestablement visés, l’inclusion ou non de certains autres acteurs peut prêter à discussion, notamment les hébergeurs ou encore les fournisseurs de services de mailing. Néanmoins, ces derniers sont clairement exclus de la notion de fournisseur de services de communications électronique selon une étude très détaillée publiée par l’ARCEP en juin 2011(124).
A ce jour, l’obligation de notification a donc un champ d’application restreint aux FAI. Mais cela pourrait bien évoluer.
b) Les évolutions probables
Notons qu’une proposition de loi a été présentée au Sénat le 6 novembre 2009 par les sénateurs Yves Détraigne et Anne-Marie Escoffier faisant suite à leur rapport d’information sur la vie privée à l’heure des mémoires numériques du 27 mai 2009 qui a mis en évidence les risques liés à l’apparition de nouvelles « mémoires numériques ». Elle prévoyait notamment l’instauration de dispositions similaires de notification des violations de sécurité mais qui devaient s’imposer à tous les secteurs d’activités. Cette proposition a été adoptée par le Sénat le 23 mars 2010 puis transmise à l’Assemblée Nationale, sans suite à ce jour. La transposition des dispositions communautaires en la matière a certainement avorté cette initiative franco-française.
Mais il faut néanmoins s’attendre à un élargissement du champ d’application de cette obligation de notification. En effet, la directive du 25 novembre 2009 précisait déjà dans ses considérants que l’intérêt des utilisateurs à être informés d’une atteinte à leurs données ne se limite pas au secteur des communications électroniques. Et plus concrètement, la Commission Européenne a présenté le 25 janvier 2012 un projet de règlement que nous avons déjà abordé, et qui prévoit l’extension de l’obligation de notification à tout responsable de traitement et plus uniquement aux fournisseurs d’accès internet. Le choix d’un règlement plutôt que d’une directive est très révélateur de la détermination de l’UE à imposer une telle disposition. En effet, rappelons qu’un règlement est directement applicable dans les Etats membres, alors qu’une directive, pour produire ses effets, doit être transposée par les Etats dans leur législation nationale, ce qui peut conduire à d’importantes disparités d’un Etat membre à l’autre.
L’adoption de ce règlement est prévue pour 2014, même si pour les plus pessimistes, il ne devrait pas voir le jour avant 2016.
Que la France attende d’y être contrainte par l’UE ou non, l’obligation de notification sera un jour ou l’autre élargie. Il est impératif que les entreprises prennent d’ores et déjà la mesure des conséquences financières d’une telle obligation.
Remarquons par ailleurs que les hébergeurs de données de santé sont déjà soumis à une obligation similaire. En effet, l’article R1111-14 du Code de la santé publique détaille le contenu de la politique de confidentialité et de sécurité imposée par l’article R1111-9 du même code aux hébergeurs de données de santé. Ces derniers doivent notamment préciser : « Les procédures de signalement des incidents graves, dont l’altération des données ou la divulgation non autorisée »(125).
Après avoir précisé quels sont à ce jour les débiteurs de l’obligation de notification, il convient de définir son fait générateur, la violation de données à caractère personnel, afin de préciser le champ d’application de cette disposition.
2) Définition des violations de données à caractère personnel
Le fait générateur de cette obligation de notification est la « violation de données à caractère personnel ». Les données visées ont déjà été définies. S’agissant de la violation, le législateur précise qu’est visée « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé » (art 34 bis I de la loi Informatique et Libertés).
L’atteinte est manifestement envisagée au sens large : il peut s’agir d’une atteinte à l’intégrité des données (destruction, modification) ou bien d’une violation de leur confidentialité (divulgation, accès non autorisé). Cette atteinte peut se produire de manière accidentelle ou intentionnelle. Sont donc visés les actes de malveillance mais aussi les erreurs et les accidents.
Si l’on ne s’attache qu’à cette partie de la définition, tout semble clair. Mais l’article dispose que cette atteinte a pour origine une « violation de la sécurité », notion pour le moins floue.
Qu’est-ce que la « sécurité » ? Vise-t-on les mesures de sécurisation du système d’information ? La sécurisation des données elles-mêmes (cryptologie notamment) ? Et le terme « violation » évoque une atteinte intentionnelle. Cela supposerait que les mesures de sécurité mises en place par le FAI soient intentionnellement violées. Doit-on comprendre que ne seraient donc visés que les cas de malveillance ? Ce n’est pas l’esprit de cette disposition et le législateur précise bien ensuite que cette violation de sécurité peut entraîner accidentellement ou intentionnellement une atteinte aux données. D’ailleurs, la CNIL le confirme sur son site internet : l’atteinte « peut se produire de manière accidentelle ou illicite, l’intention malveillante étant l’un des possibles cas de figure, mais pas le seul ». La CNIL donne également des exemples de cas constitutifs d’une violation, notamment l’intrusion dans la base de données client du FAI, mais aussi la diffusion par erreur d’un e-mail confidentiel à des tiers. En revanche aucune précision n’est apportée sur la notion de « violation de la sécurité », ce qui nous laisse penser qu’il ne faut pas trop s’y attarder.
Il ressort donc de cette disposition que toute atteinte aux données, quelles qu’en soient la cause et les conséquences, constitue une violation des données devant être notifiée par les fournisseurs de services de communications électroniques.
Voyons en quoi consiste exactement cette obligation.
C) Contenu de l’obligation
Pour connaître le contenu de cette obligation, nous exposerons la règle (1) et les cas de dispense (2) prévus par la loi, puis nous nous attarderons sur une difficulté d’application (3).
1) La règle
Selon l’article 34 bis II de la loi Informatique et Libertés, en cas de violation des données, le fournisseur doit avertir la CNIL « sans délai ». Ainsi, quelle que soit la gravité de l’atteinte, elle doit être portée à la connaissance de la CNIL sans attendre, c’est-à-dire a priori, dès que le fournisseur en a eu connaissance.
Cette disposition a pour corollaire l’obligation d’établir un inventaire des violations, précisant leurs modalités, leurs effets et les solutions mises en place pour y remédier. Ce registre doit être tenu à la disposition de la CNIL par le fournisseur (article 34 bis III). Sa mise en oeuvre n’est pas chose facile pour les entreprises assujetties qui doivent s’organiser en interne pour être en mesure de déceler et d’enregistrer toute violation.
Si la gravité de l’atteinte n’entre pas en ligne de compte s’agissant de la notification à la CNIL, elle a son importance s’agissant de la notification aux personnes concernées.
En effet, outre l’obligation de notification à la CNIL, l’article 34 bis impose également l’information des personnes physiques concernées mais uniquement lorsque la violation « peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique ». Cette condition nous semble nécessaire s’agissant de la notification aux intéressés puisqu’elle vise à leur permettre de faire valoir leurs droits, notamment d’engager une action en responsabilité contre le fournisseur en cas d’atteinte à leur vie privée.
Mais on peut dès lors s’interroger sur la pertinence de l’obligation de notification à la CNIL de toute atteinte aux données, alors même qu’elle n’a aucune conséquence sur les données personnelles ou la vie privée d’un individu.
2) Les cas de dispense
Une disposition vient toutefois limiter la portée de cette obligation de notification aux personnes intéressées, puisque la loi prévoit que les fournisseurs en sont purement et simplement dispensés lorsque la CNIL constate que « des mesures de protection appropriées ont été mises en oeuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation ».
Reste à savoir, cependant, ce que sont concrètement des « mesures de protection appropriées ». Selon la CNIL(126), il s’agit de « toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès ». Elle précise que c’est le cas du chiffrement des données. Néanmoins, « si la clé de chiffrement est compromise et qu’un tiers y a accès, il pourrait déchiffrer les données et faire en sorte que cette mesure s’avère inefficace ». Face à l’évolution constante des nouvelles technologies et compte tenu de la virtuosité des hackers, il paraît donc difficile d’avoir des « mesures de protection appropriées » si elles ne le sont plus dès lors qu’un tiers peut les compromettre.
3) Difficulté d’application
Enfin, une contradiction mérite d’être soulignée : la notification aux personnes intéressées le cas échéant doit être faite « sans délai » selon l’article 34 bis, pourtant l’exonération que nous venons d’évoquer, pour être accordée, nécessite forcément à la CNIL un certain temps d’investigation afin de déterminer si oui ou non, des mesures de sécurité appropriées avaient bien été mises en place par le FAI. La CNIL précise d’ailleurs sur son site internet que si le fournisseur a mis en oeuvre des mesures de protection, il doit en informer la CNIL au moment de la notification avec notamment une description de ces mesures et les dispositions prévues « pour leur conférer une pleine efficacité ». Ensuite, il est indiqué que la CNIL a deux mois pour se prononcer sur les mesures prises. En cas de silence de la CNIL, les mesures sont considérées comme ne répondant pas aux exigences de l’article 34 de la loi Informatique et Libertés. Par conséquent, le fournisseur devra avertir les personnes concernées(127).
En pratique, le fournisseur pourrait bien hésiter lorsqu’il constate une violation de nature à entraîner une notification aux intéressés : les en informer « sans délai », avec les coûts que cela suppose, alors qu’il pourrait bien finalement en être dispensé par la CNIL, ou attendre une éventuelle exonération de la CNIL, au risque d’être sanctionné s’il ne l’obtient finalement pas et qu’il n’avertira que tardivement les intéressés.
Voilà pour le contenu de l’obligation de notification, voyons comment elle se traduit concrètement, en termes de modalités et de coûts.
D) Traduction financière de cette obligation
Pour mesurer les frais que peut engendrer l’obligation, il convient de s’intéresser aux modalités concrètes de notification (1) et d’en évaluer les coûts (2).
1) Modalités de notification
La loi française est muette sur les modalités pratiques de notification des personnes concernées. Néanmoins, la CNIL donne quelques indications sur son site internet(128). Il est ainsi précisé que la notification à la CNIL se fait par lettre remise contre signature et qu’elle doit contenir les éléments suivants :
– nature et conséquences de la violation
– mesures déjà prises ou proposées pour y remédier
– personnes auprès desquelles des informations supplémentaires peuvent être obtenues
– si possible, estimation du nombre de personnes susceptibles d’être concernées.
S’agissant de la notification aux personnes concernées justement, la CNIL indique qu’elle se fait « par tout moyen permettant d’apporter la preuve de l’accomplissement de cette formalité ». Elle doit contenir les éléments suivants :
– nature de la violation
– personnes auprès desquelles des informations supplémentaires peuvent être obtenues
– les mesures recommandées par le fournisseur pour atténuer les conséquences négatives.
Concrètement, l’entreprise devra identifier les personnes concernées (ce qui impliquera potentiellement le recours à un expert ou au moins une investigation en interne) puis leur envoyer un courrier ou éventuellement un mail pour les informer de la violation de leurs données avec les précisions requises par la CNIL (ce qui supposera l’affectation de personnel à cette tâche et/ou des coûts d’envois postaux). Naturellement, plus le nombre de données atteintes est important et plus la notification risque de coûter cher à l’entreprise.
La loi californienne, par exemple, fait preuve de pragmatisme et prend en compte les difficultés pratiques que peuvent rencontrer les entreprises pour informer individuellement chaque personne de l’atteinte à ses données. Elle prévoit en effet que lorsque la notification écrite individuelle entraînerait des frais supérieurs à 250 000 dollars ou concernerait plus de 500 000 personnes, elle peut s’opérer sous forme d’annonces publiques sur internet ou dans les médias. Rien de tel dans la loi française.
2) Coûts
Selon l’étude du Ponemon Institute(129), les coûts de notification pour une entreprise française représentent en moyenne 111 000 euro par an (contre 110 000 en 2011). Ce chiffre inclut la création de bases de données des personnes à contacter, la détermination des exigences légales à respecter, le recours à des experts, les coûts d’envois postaux, et ceux induits par la gestion d’éventuels retours des personnes concernées (second contact par mail, gestion des communications entrantes).
Notons enfin que le manquement à l’obligation de notification est sanctionné pénalement (article 226-17-1 du Code pénal). Les peines maximales prévues sont de cinq ans d’emprisonnement et 300 000 € d’amende. Ces sanctions pénales sont sans préjudice, rappelons-le, d’éventuels dommages et intérêts ou encore de sanctions administratives prononcées par la CNIL(130).
Suite à une atteinte à la sécurité du système, outre les coûts engendrés par la recherche de l’origine et de l’étendue de l’incident, par la nécessité d’adopter une communication de crise adaptée et par l’obligation de notification, bien d’autres dépenses sont susceptibles d’être engagées par les entreprises. Sans chercher à être exhaustif, nous en évoquerons les plus importantes.
§4 : Autres frais
Parmi ces autres frais, nous évoquerons la perte d’actifs (A), les frais de veille de comptes bancaires (B), et les frais nécessaires au maintien ou à la reprise de l’activité (C).
A) Perte d’actifs
En cas d’atteinte au système d’information ou aux données, notamment suite à un acte de malveillance, il pourra résulter pour l’entreprise une pure perte d’actifs. Soit parce que les données volées ou perdues avaient une valeur patrimoniale pour l’entreprise, soit parce que le cybercriminel lui a extorqué de l’argent, en échange de la non divulgation de données sensibles dont il a réussi à s’emparer. Ou encore lorsque l’acte de malveillance a consisté en un détournement des fonds de l’entreprise. On pense notamment au cas du salarié fraudeur.
B) Frais de veille
En outre, lorsque des coordonnées bancaires de clients sont détournées, l’entreprise va éventuellement mettre à disposition des personnes concernées un service de surveillance des comptes bancaires (« credit monitoring ») dans le but de minimiser l’impact de l’atteinte à leurs données. Ce service vise en effet à détecter une éventuelle tentative de retrait d’argent des comptes des victimes par le cybercriminel et donc de pouvoir réagir immédiatement en prenant les mesures qui s’imposent auprès de la banque. En 2009, un hôtel est victime d’un piratage informatique permettant le vol de 600 références de cartes de crédit de clients. Suite à cela, l’hôtel a déboursé notamment 60 000 euro de frais de surveillance des transactions pour les victimes concernées(131).
C) Dépenses nécessaires au maintien ou à la reprise de l’exploitation
Enfin, l’entreprise va généralement être contrainte d’engager toute une série de dépenses dans le but de poursuivre son activité normalement malgré la survenance d’un incident de sécurité. Elles peuvent être nécessaires lorsque des données indispensables à l’activité de l’entreprise ont été perdues. Mais la plupart du temps, ces frais seront indispensables lorsque le système d’information est atteint et qu’il ne fonctionne plus normalement. Si certaines entreprises sont plus particulièrement dépendantes de leur système que d’autres, une indisponibilité de ce dernier est, au moins, handicapante pour toute entreprise. Le but est donc de maintenir par divers moyens le niveau d’activité de l’entreprise, afin d’éviter ou de limiter une éventuelle perte de chiffre d’affaires suite à l’atteinte. D’un point de vue assurantiel, c’est ce que l’on appelle les frais supplémentaires d’exploitation. Il peut s’agir concrètement de la location de matériels informatiques par exemple, en attendant que ceux de l’entreprise soient à nouveau opérationnels. Cette dernière peut aussi être amenée à recourir à un sous-traitant ou un prestataire extérieur ou encore à du personnel supplémentaire pour honorer ses commandes par exemple.
Selon la durée de l’indisponibilité du système, ces frais peuvent être réellement importants.
L’évocation des frais supplémentaires d’exploitation nous conduit naturellement à l’exposé des coûts indirects résultant d’une atteinte à son système. Il s’agit principalement de la perte de chiffre d’affaires, risque majeur en terme de dommage à l’entreprise.
120 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
121 PWC, Global Economic Crime Survey, 2011
122 Il s’agit de la directive 2009/136/CE qui modifie les directives 2002/22/CE « secteur universel », 2002/58/CE « vie privée et communications électroniques » et le règlement n°2006/2004 « relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs » ; et de la directive 2009/140/CE qui modifie les directives 2002/21/CE « cadre » et 2002/19/CE « accès » et 2002/20/CE « autorisation ».
123 Cf supra Titre 2, Chapitre 1, Section 2, §2
124 ARCEP, Etude sur le périmètre de la notion d’opérateur de communications électroniques, juin 2011
125 Article R1111-14, 1°, e) du Code de la santé publique
126 www.cnil.fr/documentation/fiches-pratiques
127 www.cnil.fr/documentation/fiches-pratiques
128 www.cnil.fr/documentation/fiches-pratiques
129 Ponemon Institute, 2013 Cost of Data Breach Study : France, mai 2013
130 Cf supra Titre 2, Chapitre 1, Section 2, §4
131 Source : brochure commerciale assureur
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance