La nouvelle directive de l’UE sur la protection des données
Suite à l'annonce de la nouvelle directive de l’UE sur la protection des données, Matthew Norris, expert en matière de risques liés aux nouvelles technologies (e-risks) et au respect de la vie privée chez Hiscox Groupe, et François Brisson, expert « Data Risks » (solution d’assurance contre le hacking) chez Hiscox France, nous livrent leurs impressions :
« La nouvelle proposition de directive, qui porte entre autres sur l’obligation de notification de toute perte des données, s'inscrit dans une optique plus large, commente Matthew Norris. Elle consiste à accroître la pression sur les sociétés afin qu’elles soient capables de détecter les violations en matière de données et d'y remédier rapidement. Certaines entreprises ont subi des pertes de données importantes au cours de l'année écoulée, et la rapidité de réaction est cruciale, dans de tels cas, pour en limiter les effets négatifs.
Cette proposition de directive exige de certaines entreprises de e-commerce qu’elles contactent les autorités de contrôle dans les 24 heures après une attaque, et à indiquer la nature des données volées « dès que possible dans un délai raisonnable ». Cependant, signaler une violation de données complexe dans un tel délai peut s’avérer difficile. A ce stade, beaucoup d’incidents seront en pratique encore en cours d'investigation technique. Il est donc nécessaire de disposer d'un Plan de Réponse à Incidents, déjà approuvé et mis en place. Celui-ci permettrait à l'entreprise de répondre de la manière la plus détaillée possible et dans un délai le plus court possible. C’est particulièrement important pour limiter au maximum les dommages causés à l’image de la marque et d’éviter les sanctions potentielles ».
François Brisson avait déjà évoqué cette problématique lors du lancement de Data Risk en septembre dernier. Il ajoute que « en tant qu’assureur spécialiste, Hiscox a pour vocation d’accompagner ses assurés dans cette démarche essentielle de prévention afin de protéger leurs entreprises en cas d’attaques. Data Risks ne réside pas seulement dans la couverture des dommages aux clients ou à l’entreprise victime de hacking. Data Risks est aussi une solution préventive et corrective par la mise à disposition d’un réseau d’experts et d’avocats très spécialisés à même d’accompagner un assuré avant, pendant et après une cyber-attaque, et ceci dans les meilleurs délais ».
Il est vital pour les entreprises de disposer d'un Plan de Réponse à Incidents efficace, afin de limiter au maximum les dommages en cas de violation des données. Pour le mettre en place, il est important de :
- Désigner une personne chargée de prendre contact rapidement avec la société d'expertise technique en
cas de violation - Déterminer le moment où il est opportun de faire appel à un avocat, par exemple pour disposer d’un
conseil juridique et maîtriser le contentieux si le rapport d’expertise fait apparaître des éléments défavorables - Désigner une société d'expertise technique avec laquelle collaborer en cas de violation
- Passer un accord avec une société d'expertise technique qui fixera le cadre de la mission et le périmètre
d’intervention - Se mettre d’accord sur le tarif horaire avec la société d'expertise technique dans le cadre du contrat