Cyber-risque : une place à prendre pour le juriste d'entreprise

Confrontées à la pandémie, les entreprises ont dû faire face, commercialement et économiquement, aux évolutions des méthodes de travail et prendre en compte le risque digital. Un risque que les directions juridiques ne peuvent ignorer, elles qui sont garantes de la sécurité juridique de l’entreprise. Une conférence du Sommet du droit en entreprise était organisée le 26 janvier dernier pour inviter directeurs juridiques, avocats et membre de la legaltech à débattre du sujet.

Confrontées à la pandémie, les entreprises ont dû faire face, commercialement et économiquement, aux évolutions des méthodes de travail et prendre en compte le risque digital. Un risque que les directions juridiques ne peuvent ignorer, elles qui sont garantes de la sécurité juridique de l’entreprise. Une conférence du Sommet du droit en entreprise était organisée le 26 janvier dernier pour inviter directeurs juridiques, avocats et membre de la legaltech à débattre du sujet.

Pour approfondir ce sujet, vous pouvez visionner la vidéo de la table ronde organisée par le Sommet du droit en entreprise 2021 :

Recrudescence des cyber-attaques, délocalisation des salariés, failles de sécurité… L'impréparation digitale des entreprises a pris tout le monde de court. Le sujet n'est pourtant pas nouveau, mais son importance a resurgi de manière inédite lors du déclenchement de la crise sanitaire, raison pour laquelle de nouvelles stratégies nécessitant l’intervention des professionnels du droit ont dû être mises en place.  

Le désintérêt : premier échec des entreprises 

Le constat a beau être anxiogène, il est unanime : "Le cyber risque n'est plus évitable. Les entreprises doivent se préparer à rebondir quand, et non plus si, elles sont victimes de ces attaques", réagit Emmanuelle Bartoli, responsable de la protection des données chez Capgemini. Le business des hackers est florissant. Il vise les systèmes des entreprises les plus vulnérables et dont le système de protection présente des défaillances en les menaçant d'extorsion, de diffusion ou de destruction de leurs données financières, techniques et commerciales. Il n'est plus envisageable de négliger ces risques qui peuvent entraîner pour les entreprises des pertes financières, une interruption de leurs activités ou entacher leur réputation. 

Au cœur de la construction d’une ligne de défense face au risque digital figure aussi la protection des données personnelles sous l’égide du Règlement général de protection des données personnelles (RGPD). Il revient aux entreprises de respecter un cahier des charges précis qui facilite la lutte contre les cyber-attaques et les cybermenaces, notamment en ce qui concerne la traçabilité, le traitement et la protection des données. En créant une obligation de signalement en cas de défaillance informatique ainsi que la possibilité (voire l'obligation pour les autorités et organismes publics) de désigner un délégué à la protection des données (DPO), le texte européen offre aux entreprises toutes les armes pour bâtir leur défense. 

"Il faut créer de l'intimité avec les entreprises, comprendre leurs besoins pour fournir un service adapté et proportionné, sans cela elles resteront réticentes à s'impliquer dans la mise en conformité au RGPD"

Quelque deux ans et demi après l’entrée en vigueur du RPGD, le bilan de son application est pourtant mitigé. Grégoire Hanquier, directeur juridique de Data Legal Drive, constate que "pour de nombreuses entreprises, la protection et la conformité au RGPD se résument à de simples formalités, un tableau Excel à remplir une fois. Il s’agit en réalité d’un travail de longue haleine qui demande une véritable implication dans la durée." Si les grands groupes et des collectivités territoriales sont aujourd’hui bien outillés en matière de conformité RGPD, les petites entreprises restent les lanternes rouges. Frédéric Sardain, associé de l'équipe IT de Jeantet, explique la raison de ce retard : "Il y a un déséquilibre entre le coût et le retour sur investissement de la mise en place d'un plan de conformité." Problème de financement certes, mais aussi d'organisation, la mise en place d'un plan de conformité nécessitant la construction de ponts entre des aspects techniques et juridiques. "Il faut créer de l'intimité avec les entreprises, comprendre leurs besoins pour fournir un service adapté et proportionné, sans cela elles resteront réticentes à s'impliquer dans la mise en conformité au RGPD", assène Emmanuelle Bartoli. Comprendre les besoins de l'entreprise, faire preuve de pédagogie, convaincre de la nécessité de s'adjoindre les services de spécialistes… Ces nouvelles tâches font maintenant partie de la responsabilité des directeurs juridiques. Il leur revient de plus s’impliquer dans la vie de leur entreprise, de devenir les couteaux suisses de la conformité.  

Vers une réécriture du rôle de juriste    

"Acteur majeur", "chef d'orchestre", "pilier de l'entreprise"… Nombreuses sont les qualifications qu’on donne au juriste d’entreprise. En prenant en charge la mise en place de la conformité au sein des entreprises et en s’érigeant comme rempart au risque digital, le juriste endosse un rôle de composition. Pas facile effectivement de passer de garant du risque juridique historique provenant des contrats et des litiges à protecteur contre les menaces de sanctions pour défaut de conformité à la réglementation protectrice des données personnelles. Le juriste doit devenir le guide de l’entreprise, travailler avec les différents départements pour articuler au mieux le programme de conformité. Il doit également convaincre les chefs d'entreprise de se doter des outils nécessaires à la protection : campagnes de prévention auprès des salariés, constitution d'équipes techniques mise en place de logiciels de cyber-protection.  

Le nouveau rôle du juriste a pris plus d’ampleur grâce à la crise sanitaire. Face à la recrudescence des cyber-attaques, à la multiplication des failles de sécurité humaines dues au recours massif au télétravail, le professionnel du droit a pu valoriser son travail, faire valoir la nécessité de mettre en place un programme de conformité et, par là même, faire évoluer l'état d'esprit des entreprises. Le RGPD contraint les entreprises victimes de cyber-attaques sur les données personnelles d’en informer les autorités compétentes. Le non-respect de cette mesure peut entraîner des sanctions notamment une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Certaines entreprises ont pu faire le choix de payer aux pirates une rançon moins élevée que cette lourde sanction financière plutôt que d’informer la Cnil leurs propres failles. Il est temps de dépasser cet état de fait. Les juristes doivent devenir les moteurs de la cyber-protection.

Louise Tydgadt

 

 

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Le droit en entreprise : organisation, risk management et compliance

Trois grandes thématiques pour neuf conférences : le Sommet du droit en entreprise 2021 était l'occasion pour les directrices et directeurs juridiques, les avocats et les acteurs de la legaltech de débattre tant des sujets d'actualité que de fond touchant le droit en entreprise. Ce dossier fait la synthèse des discussions, à retrouver également en replay (liens dans chaque article).
Sommaire Directeurs juridiques, le sens de la tech Entreprise : quelles directions pour le juridique ? Compliance : la France au pas de course Le chef d'entreprise face au risque pénal La chaîne logistique au cœur des enjeux juridiques et éthiques
Retrouvez les classements issus du Guide Risk Management & Assurance 2022

Retrouvez les classements issus du Guide Risk Management & Assurance 2022

Après plus de trois mois d'enquête, la rédaction de Décideurs a le plaisir de vous partager ses classements des meilleurs professionnels en matière de...

Aston Avocats renforce sa pratique en droit social

Aston Avocats renforce sa pratique en droit social

Avocate spécialiste en droit du travail et de la sécurité sociale, Rosine de Matos est nommée counsel au sein du département social du cabinet Aston A...

Une non-juriste dirige dorénavant Altius

Une non-juriste dirige dorénavant Altius

Le cabinet belge Altius renouvelle sa direction et nomme Valérie Struye general manager. Il sera pour la première fois dirigé par un professionnel san...

L’UE est prête pour le reporting extrafinancier des grandes entreprises

L’UE est prête pour le reporting extrafinancier des grandes entreprises

Mardi 22 juin, le Parlement européen et les gouvernements des 27 ont conclu un accord provisoire sur la directive CSRD, qui prévoit de nouvelles règle...

Room Avocats mise sur sa pratique distribution concurrence

Room Avocats mise sur sa pratique distribution concurrence

Le réseau d’avocats d’affaires Room Avocats accueille Gwendoline Cattier à la tête de sa pratique distribution concurrence. L’avocate est passée par c...

Google et droits voisins : la conclusion

Google et droits voisins : la conclusion

Après deux ans de tractations entre Google et l’Apig et une amende de 500 millions d’euros, le dossier des droits voisins est désormais clos pour la f...

Nouvel associé marseillais pour UGGC Avocats

Nouvel associé marseillais pour UGGC Avocats

Le cabinet indépendant présent à l’international UGGC Avocats consolide son bureau de Marseille grâce à l’arrivée d’un nouvel associé spécialiste du d...

Winifrey Caudron : de la finance aux assurances

Winifrey Caudron : de la finance aux assurances

Depuis seize ans, Winifrey Caudron évolue au sein du groupe Up. Retour sur son parcours et sur son intérêt croissant pour les thématiques de risk mana...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message