Surtout à l’ère de la numérisation avancée et de réseaux plus complexes, les entreprises qui traitent les données personnelles devraient placer la protection des données en tête de liste de priorités. Cependant, le travail conforme au RGPD pose encore d’importants défis à de nombreuses entreprises. Cependant, une infraction ou un non-respect du règlement RGPD peut entraîner de lourdes amendes.

L’experte en protection des données Annika Fuchs-Langanke, avocate et propriétaire du cabinet Fuchs & Coll. Rechtsanwaltsgesellschaft mbH à Potsdam, explique dans une interview accordée à Perseus ce qui doit particulièrement être pris en compte

L’introduction du RGPD en Allemagne remonte à environ deux ans. Existe-t-il une évaluation générale de la manière dont les entreprises les ont acceptées et mises en œuvre ?

Il n’y a certainement pas de réponse générale à cette question. Les grandes entreprises en particulier ont déployé des efforts considérables pour devenir « conformes au RGPD ». Mais ici aussi, certaines entreprises risquent de devoir rattraper leur retard à un endroit ou un autre – je pense par exemple au sujet de la « suppression ».

Pour les entreprises de taille moyenne et surtout les petites, la situation est probablement beaucoup plus différenciée. Ici aussi, de nombreuses entreprises ont fait des efforts et se retrouvent désormais dans une bonne position. Malheureusement, certaines entreprises ont aussi fait relativement peu en matière de RGPD. Il y a certainement encore un besoin de mise en œuvre ici. Cependant, cela ne peut être généralisé.

La protection des données et la cybersécurité vont de pair, ou se gênent-elles mutuellement ?

La protection des données et la cybersécurité vont de pair avec la sécurité. Par exemple, le RGPD exige que les entreprises prennent des mesures appropriées pour protéger les données personnelles qu’elles traitent. Surtout à une époque où les données personnelles sont principalement traitées numériquement, des mesures telles que les pare-feux, les mécanismes de chiffrement, la gestion des correctifs et les sauvegardes jouent un rôle de plus en plus important. Il suffit de penser au sujet du « home office », qui devient de plus en plus pertinent et ne serait pas envisageable sans mesures de cybersécurité.

En matière de protection des données, quels types de cyberattaques sont particulièrement dangereux ? Et quelles données sont particulièrement intéressantes pour les cybercriminels ?

Bien sûr, toutes les attaques impliquant des données personnelles sont particulièrement dangereuses, et celles qui peuvent entraîner destruction, perte, altération et, surtout, divulgation non autorisée. Les cybercriminels sont susceptibles de cibler les données bancaires, entre autres. Mais cela ne doit pas toujours être le cas. Par exemple, les cybercriminels peuvent également cibler des données d’accès ou des mots de passe et causer des dégâts considérables.

Une entreprise a été victime d’une cyberattaque. Quand un responsable de la protection des données doit-il être consulté, et quelles sont exactement les démarches qu’il ou elle entreprend ?

Il n’y a pas de réponse générale à cette question. Bien sûr, cela dépend toujours de la manière dont une entreprise s’est organisée, qu’elle ait un responsable de la protection des données interne ou externe. Même s’il est logique que les petites entreprises aient un responsable de la protection des données, cela n’est pas toujours exigé par la loi.

Quoi qu’il en soit, les entreprises – qu’elles soient petites ou grandes – doivent savoir quoi faire en cas de cyberattaque ou de violation de données très susceptible d’en résulter, et fournir un processus approprié pour y parvenir.

Du point de vue de la protection des données, la chose la plus importante ici est d’abord d’acquérir des connaissances sur la cyberattaque – puis de ne pas perdre de temps. Bien sûr, des mesures correctives doivent être prises immédiatement. De plus, il faut déterminer si la violation de données est susceptible de présenter un risque, voire un risque élevé, pour les personnes concernées. Si nécessaire, l’autorité de surveillance doit être informée et les personnes concernées informées. Bien sûr, la violation de données et les mesures prises doivent également être documentées en conséquence.

En supposant que l’autorité de surveillance doive être informée, existe-t-il des exigences légales concernant la date à laquelle cette notification doit être faite ?

Il y en a. Le RGPD exige que les violations de données susceptibles de présenter un risque pour les personnes concernées soient signalées immédiatement à l’autorité de surveillance et, si possible, dans les 72 heures suivant leur prise de connaissance.

Quelles sont les conséquences possibles si cette obligation de signalement est ignorée ?

Tout d’abord, une violation de l’obligation de déclaration peut entraîner une amende allant jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires de l’année précédente. Même si les autorités de surveillance disposent d’un cadre de sanction ici, c’est-à-dire qu’elles n’ont pas nécessairement à imposer une amende de cette ampleur, le risque d’une amende sévère doit de toute façon être pris au sérieux.

Mais des réclamations en dommages-intérêts et, bien sûr, une perte d’image considérable ne peuvent être exclues si une tentative est faite pour étouffer une violation de données.

Vous pouvez lire tout ce que vous devez savoir sur la sécurité des données ici.

Vous pouvez lire comment se comporter correctement en cas d’urgence cybernétique dans notre guide « Que faire en cas d’urgence cyber ».

Vous pouvez lire sur les infractions punies par des amendes et sur leur niveau élevé dans un article du Süddeutsche Zeitung.