La publication du rapport annuel de l’année 2018 de la CNIL nous permet de faire un premier bilan de la première année d’application du RGPD ?
La lecture du rapport annuel de 2018 de la CNIL fait ressortir les lignes directrices suivantes :
- 11 077 de plaintes, soit une augmentation de + 32% ;
- Le montant des amendes CNIL (sanctions pécuniaires administratives) augmente de + 222% (alors qu’elles ont été prises en application de la législation antérieure au RGPD)
- 70% des sanctions sont la conséquence d’un manquement à la sécurité des données (faille de sécurité).
- Le rôle des responsabilités des sous-traitants techniques (prestataires informatiques) fera l’objet d’une vérification approfondie de la CNIL dans le courant de 2019.
Les sociétés du secteur informatique (ESN, éditeurs, hébergeurs, etc.) sont particulièrement concernées par les risques cyber et RGDP.
D’une part, elles s’occupent du traitement des données (y compris les données personnelles) pour le compte de leurs clients.
D’autre part, elles peuvent être mises en cause par leurs clients à l’occasion des sanctions de la CNIL portant sur les failles de sécurité. En effet, dans le grande majorité des décisions de la CNIL, à titre d’exemple, Darty Optical Center, Daillymotion, Uber, Bouygues Telecom ces dernières sanctionnaient le manquement à la sécurité des données (l’ancien article article 34 de la loi informatique et liberté). En constatant l’existence de failles de sécurité c’est bien le prestataire informatique de l’entreprise sanctionnée qui est exposé.
Enfin, la CNIL a participé à l’enquête « Sweep » du Global Privacy Enforcement Network (GPEN) – réseau d’organismes agissant au sein de l’OCDE pour la protection de la vie privée. L’édition de 2018 de cette enquête s’est concentrée sur la responsabilisation des acteurs en matière de protection des données (Privacy accountability), principe consacré par
le RGPD. Il en est ressortit une difficulté d’appréciation des rôles et des limites de ces derniers.Malgré la publication d’un guide des sous traitants techniques, la CNIL a décidé d’approfondir en 2019 les responsabilités des sous traitants techniques.
Il est donc essentiel de vérifier que les assurances de Responsabilité Civile Professionnelle (RC Pro) des prestataires informatiques ou éditeurs de logiciel n’excluent pas les risques qui sont inhérents ou qui sont la conséquences des réclamations fondées sur les risques cyber, la fraude informatique ou la violation de la législation sur la protection des données personnelles (RGPD).
Cette vérification est d’autant plus importante que la souscription d’un volet Responsabilité Civile (RC) d’une assurance Cyber ne sera pas suffisant.
L’Assurance de responsabilité Civile Professionnelle de Syntec Numériques Assurances est l’un des seuls programmes à couvrir le Risque Responsabilité Civile (risque de pertes financières des tiers, donc de vos clients) des Cyber Risques (RGPD, Fraude informatique et sécurité informatique) et d’un volet gestion de Cyber Crise.
Si vous avez un doute, contactez nous ou demander un audit ?