Fuites de données en entreprise: who’s done it?

Un fichier de données confidentielles et stratégiques a été exporté du système informatique de l’entreprise. Les impacts sont énormes : perte de confiance, pertes financières, atteinte à la vie privée, interruption de l’activité, perte réputationnelle. 

Qui est responsable ? En matière de fuite de données, cette question n’est ni la seule ni la première.

Ce who’s done it soulève de multiples questions et comporte, juridiquement, plusieurs versions.

Des questions en pagaille, techniques et juridiques : 

• Quelles sont les preuves ? 
• Quelle est la cause de la fuite ? 
• Quelles sont les incidences de la fuite ? quels impacts pour les données personnelles ? pour les données stratégiques ? quelles personnes physiques peuvent être impactées, dans leur vie privée ? 
• Les données ont-elles été transférées à un tiers non autorisé ? comment, quand, par quels moyens ?
• Quelles données sont concernées, exactement ? sur quelle période, et quel périmètre ?
• Les données sont-elles récupérables ? Leur intégrité leur confidentialité et leur disponibilité est-elle en jeu ?
• Quelles mesures ont été prises ? quelles mesures auraient dues être prises ? quels moyens de sécurité étaient déployés ? quelles fonctionnalités de sécurité des données étaient fonctionnelles ? s’agit-il d’un dysfonctionnement technique ou d’une action humaine ?  S’agit-il d’une action malveillante ou malencontreuse ? 
• Comment communiquer ? qui informer ? 
• Quelles leçons tirer de cet incident ? comment améliorer la protection des données ? comment cette fuite aurait-elle pu être évitée ? 
• Comment obtenir réparation ?

Version RGPD de l’incident

1. Le narrateur est la personne concernée, « PC », celle dont les données personnelles ont « fuité ». 
2. Le référentiel est le RGPD et le cadre dans lequel l’ENTREPRISE (le responsable de traitement) devait utiliser ces données à caractère personnel. Ses engagements à ce titre informent notamment la personne concernée de ce qu’elle prévoit d’en faire, pourquoi, ce qui l’y autorise, à qui elle prévoit de transférer, mais aussi les mesures de protection, de sécurité, qu’elle déploie pour que ses données ne tombent pas entre d’autres mains.
3. La procédure : la personne concernée va demander des comptes au Responsable de traitement. Et pourra déposer plainte auprès de la CNIL si sa demande n’est pas satisfaite. 

Dans cette version, que l’incident ait été causé par un dysfonctionnement ou une erreur humaine, volontaire ou non ne changera pas la donne. Le « coupable », au regard de la règlementation de la protection des données, est le responsable de traitement. C’est sur lui que pèse l’obligation de sécurité de l’article 32 du RGPD, et sur lui que les sanctions (lourdes) peuvent s’abattre. 

Le prestataire technique joue les seconds rôles dans cette version. Il est le sous-traitant de la Société, à ce titre ses obligations et sa responsabilité sont encadrées, et étroitement liées à celles du Responsable de traitement. Il peut être sanctionné lui aussi, en cas de manquement aux obligations de sécurité des données personnelles. 

L’application de ce cadre règlementaire ne conduira pas à la réparation du préjudice de PC. Il ne protègera pas les intérêts de la société responsable de traitement mais la tiendra pour responsable de ses actions ou de ses omissions en matière de sécurité des données personnelles.

Version contractuelle de l’incident

1. Le narrateur est la société, ou le prestataire technique, c’est selon qui s’estime lésé, car victime des manquements de l’autre.
2. Le référentiel est le Code civil et le contrat conclu au titre de la prestation qui a conduit à la fuite de données ou n’a pas permis de l’éviter. 
3. Le litige contractuel se règle d’abord entre les parties au contrat ; si elles ne parviennent pas à un accord amiablement, la réparation sera accordée par le juge civil, garant du respect du contrat et des règles du code civil. L’assureur des deux parties au contrat joue également un rôle, qui l’autorise, à connaitre des circonstances de la fuite des données mais aussi des responsabilités encourues dans la mise en jeu de sa couverture du risque couvert.

Le narrateur peut également être le Client, personne morale victime de la fuite de ses données confidentielles. Son référentiel étant le contrat conclu avec la société. Son préjudice sera réparé par l’application de la responsabilité contractuelle, éventuellement de la mise en œuvre du mécanisme de couverture assurantielle, et si besoin, après arbitrage du juge judiciaire.

La CNIL, à son égard, n’est pas compétente, si des données personnelles ne sont pas en jeu. 

Mais elle n’en devra pas moins être informée de la fuite de données, si sa nature et son impact le requièrent. Et sera en droit de procéder à un contrôle voire à des sanctions, contre l’employeur responsable de traitement, voire contre son sous-traitant, en cas de manquement à la règlementation de protection des données.

Dans cette version, le salarié joue un rôle secondaire.

La preuve sera celle du manquement aux obligations contractuelles.

Version RH de l’incident

1. Le narrateur est l’employeur. Il suspecte une erreur, voire une faute de son salarié.
2. Le référentiel est le code du travail et les normes internes à l’entreprise
3. L’enquête disciplinaire : L’employeur scrutera l’incident à l’aune des Chartes internes, Règlement intérieur, contrat de travail et avenants, du cadre et des précautions qu’il a pris le soin de déployer pour protéger les données stratégiques et sensibles pour l’activité de la société, ses clients et équipes. S’il estime qu’une faute a été commise, encore devra-t-il en rapporter la preuve irréfutable et complète, pour pouvoir éventuellement mettre en œuvre la sanction disciplinaire appropriée. Elle ne réparera pas son préjudice, qui ne pourrait être réparé que pénalement, si les conditions en sont réunies.
4. Le procès : Le juge prud’homal le scrutera à son tour à l’aune des mêmes référentiels, mais aussi des normes collectives et des obligations imposées par le RGPD à l’employeur, dont il devra éventuellement répondre devant lui.

La CNIL n’est pas au casting de la première saison de ce scénario, mais le RGPD peut néanmoins faire une apparition dans les arguments échangés, si le salarié, pour contrer les attaques de l’employeur, se saisit des droits qui sont les siens pour mettre en cause la société en tant que responsable de traitement. 

Version pénale de l’incident

Selon la nature des faits à l’origine de l’incident, la responsabilité pénale pourrait donner à voir une autre version de l’incident.

1. Le narrateur en est la société victime d’une intrusion malveillante, ou d’un vol de données
2. Son référentiel est le code pénal, et l’ensemble des règles de cybersécurité, qui sanctionnent les infractions à la sécurité la disponibilité et l’intégrité des systèmes d’information
3. L’enquête : les faits, les circonstances, les intentions sont scrutées dans ce cadre, à l’issue d’une collecte de preuves par l’autorité de poursuite. L’auteur de la faute pénale (un hackeur ? un prestataire technique fautif ? un collaborateur indélicat ?) pourra être poursuivi et le cas échéant condamné à réparer le préjudice causé.

Il se déduit de ce qui précède que le « coupable » peut ne pas être le même selon les versions, et le référentiel. La stratégie juridique de défense s’infère nécessairement de la maîtrise de ces différents référentiels et de leurs implications.

Dans tous les cas, les circonstances de l’incident sont au cœur de l’enquête. Et la question de la preuve technique et juridique est essentielle. 

La fuite de données peut être aussi la première véritable confrontation de l’entreprise avec les dispositions du RGPD et du droit de la cybersécurité, alors même que la gestion des risques devrait juridiquement inclure la protection des données personnelles. 

Mieux vaut prévenir, que guérir subir.

Fatoumata Brouard,

Avocate, Dpo et LegalOps, by design

#Avoscôtés