Il a fallu attendre le Data Governance Act pour que l’Union européenne, qui poursuit l’objectif de développer un marché responsable de la donnée, en propose une définition juridique. Cette dernière permet d’appréhender un nombre important de typologies de données : “la donnée constitue toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, en particulier sous la forme d’enregistrements sonores, visuels ou audiovisuels”.
Même si le RGPD1 est sur toutes les lèvres, une donnée n’est donc pas forcément personnelle. Celle-ci peut avoir plusieurs natures et obéir à plusieurs régimes juridiques. Personnelle ou non, une donnée peut constituer un actif économique majeur, dont la perte, la corruption ou la simple indisponibilité peut se révéler catastrophique pour la société, dont l’activité dépend du traitement de la donnée.
Les traitements de données impliquent obligatoirement l’existence de risques et de responsabilités, qui peuvent être limités par des mesures de préventions idoines.
Entre risques et responsabilités
Ainsi, les entreprises ont l’obligation de protéger leur patrimoine informationnel. La perte, l’altération ou la corruption d’une donnée constitue à la fois un risque opérationnel, réputationnel et juridique. Ce dernier est sans doute le plus difficile à appréhender, car protéiforme. Il est la conséquence directe des multiples obligations, dont les entreprises sont les débitrices et qui peuvent être d’origine légale, règlementaire et/ou contractuelle.
En cas de perte ou d’altération d’une donnée, les responsabilités qui seront mises en œuvre dépendront de la nature de cette donnée et de la nature de l’atteinte à la donnée. La multiplication des obligations légales et règlementaires rend difficile leur énumération exhaustive.
Lire aussi : La clause de non-concurrence des salariés
Ainsi, par exemple, le RGPD prévoit que le responsable d’un traitement qui n’aurait pas pris les mesures de sécurité nécessaires s’expose à une amende administrative pouvant aller jusqu’à 2 % du chiffre d’affaires, dans la limite de 1 M€… Le code de la propriété intellectuel sanctionne, lui, la divulgation d’un secret de fabrique par une amende de 30 000 € et 2 ans d’emprisonnement.
Le risque juridique est aussi contractuel. Un professionnel pourra voir sa responsabilité mise en cause si, en ne respectant pas une obligation contractuelle, il a provoqué un préjudice. Et les dommages et intérêts résultant de l’altération et/ou destruction de données ne sont pas négligeables.
Les mesures de prévention
Afin de se prémunir contre les risques inhérents aux traitements des données (stockage, accès, maintenance …), l’entreprise devra mettre en œuvre deux types de mesures de prévention.
- En interne, elle devra cartographier les données et les classer selon leur nature, leur degré de sensibilité. C’est donc sans surprise que l’Annsi2 conseille aux entreprises de réaliser une cartographie, un inventaire de leurs données et des traitements qu’elles réalisent. Cette classification doit s’accompagner de la mise en place d’outils techniques adéquats pour assurer la protection des données (chiffrement, duplication, externalisation…) et de l’instauration de process de gouvernance et de gestion adaptés.
- En externe, l’entreprise devra veiller à la conclusion de clauses de confidentialité, ainsi qu’à la répartition des obligations dans les contrats et aux clauses limitatives de responsabilités.
Le meilleur remède reste la prévention. Cette dernière inclut le fait de vérifier que la police d’assurance couvre bien les risques liés à la perte ou à l’altération des données considérées comme sensibles par l’entreprise.
Olivier Javel
Avocat à la Cour
Cabinet 1792 Avocats
1Règlement général sur la protection des données.
2Agence nationale de la sécurité des systèmes d’information.