Cyber-risque : une place à prendre pour le juriste d'entreprise

Pour approfondir ce sujet, vous pouvez visionner la vidéo de la table ronde organisée par le Sommet du droit en entreprise 2021 :

Recrudescence des cyber-attaques, délocalisation des salariés, failles de sécurité… L'impréparation digitale des entreprises a pris tout le monde de court. Le sujet n'est pourtant pas nouveau, mais son importance a resurgi de manière inédite lors du déclenchement de la crise sanitaire, raison pour laquelle de nouvelles stratégies nécessitant l’intervention des professionnels du droit ont dû être mises en place.  

Le désintérêt : premier échec des entreprises 

Le constat a beau être anxiogène, il est unanime : "Le cyber risque n'est plus évitable. Les entreprises doivent se préparer à rebondir quand, et non plus si, elles sont victimes de ces attaques", réagit Emmanuelle Bartoli, responsable de la protection des données chez Capgemini. Le business des hackers est florissant. Il vise les systèmes des entreprises les plus vulnérables et dont le système de protection présente des défaillances en les menaçant d'extorsion, de diffusion ou de destruction de leurs données financières, techniques et commerciales. Il n'est plus envisageable de négliger ces risques qui peuvent entraîner pour les entreprises des pertes financières, une interruption de leurs activités ou entacher leur réputation. 

Au cœur de la construction d’une ligne de défense face au risque digital figure aussi la protection des données personnelles sous l’égide du Règlement général de protection des données personnelles (RGPD). Il revient aux entreprises de respecter un cahier des charges précis qui facilite la lutte contre les cyber-attaques et les cybermenaces, notamment en ce qui concerne la traçabilité, le traitement et la protection des données. En créant une obligation de signalement en cas de défaillance informatique ainsi que la possibilité (voire l'obligation pour les autorités et organismes publics) de désigner un délégué à la protection des données (DPO), le texte européen offre aux entreprises toutes les armes pour bâtir leur défense. 

"Il faut créer de l'intimité avec les entreprises, comprendre leurs besoins pour fournir un service adapté et proportionné, sans cela elles resteront réticentes à s'impliquer dans la mise en conformité au RGPD"

Quelque deux ans et demi après l’entrée en vigueur du RPGD, le bilan de son application est pourtant mitigé. Grégoire Hanquier, directeur juridique de Data Legal Drive, constate que "pour de nombreuses entreprises, la protection et la conformité au RGPD se résument à de simples formalités, un tableau Excel à remplir une fois. Il s’agit en réalité d’un travail de longue haleine qui demande une véritable implication dans la durée." Si les grands groupes et des collectivités territoriales sont aujourd’hui bien outillés en matière de conformité RGPD, les petites entreprises restent les lanternes rouges. Frédéric Sardain, associé de l'équipe IT de Jeantet, explique la raison de ce retard : "Il y a un déséquilibre entre le coût et le retour sur investissement de la mise en place d'un plan de conformité." Problème de financement certes, mais aussi d'organisation, la mise en place d'un plan de conformité nécessitant la construction de ponts entre des aspects techniques et juridiques. "Il faut créer de l'intimité avec les entreprises, comprendre leurs besoins pour fournir un service adapté et proportionné, sans cela elles resteront réticentes à s'impliquer dans la mise en conformité au RGPD", assène Emmanuelle Bartoli. Comprendre les besoins de l'entreprise, faire preuve de pédagogie, convaincre de la nécessité de s'adjoindre les services de spécialistes… Ces nouvelles tâches font maintenant partie de la responsabilité des directeurs juridiques. Il leur revient de plus s’impliquer dans la vie de leur entreprise, de devenir les couteaux suisses de la conformité.  

Vers une réécriture du rôle de juriste    

"Acteur majeur", "chef d'orchestre", "pilier de l'entreprise"… Nombreuses sont les qualifications qu’on donne au juriste d’entreprise. En prenant en charge la mise en place de la conformité au sein des entreprises et en s’érigeant comme rempart au risque digital, le juriste endosse un rôle de composition. Pas facile effectivement de passer de garant du risque juridique historique provenant des contrats et des litiges à protecteur contre les menaces de sanctions pour défaut de conformité à la réglementation protectrice des données personnelles. Le juriste doit devenir le guide de l’entreprise, travailler avec les différents départements pour articuler au mieux le programme de conformité. Il doit également convaincre les chefs d'entreprise de se doter des outils nécessaires à la protection : campagnes de prévention auprès des salariés, constitution d'équipes techniques mise en place de logiciels de cyber-protection.  

Le nouveau rôle du juriste a pris plus d’ampleur grâce à la crise sanitaire. Face à la recrudescence des cyber-attaques, à la multiplication des failles de sécurité humaines dues au recours massif au télétravail, le professionnel du droit a pu valoriser son travail, faire valoir la nécessité de mettre en place un programme de conformité et, par là même, faire évoluer l'état d'esprit des entreprises. Le RGPD contraint les entreprises victimes de cyber-attaques sur les données personnelles d’en informer les autorités compétentes. Le non-respect de cette mesure peut entraîner des sanctions notamment une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Certaines entreprises ont pu faire le choix de payer aux pirates une rançon moins élevée que cette lourde sanction financière plutôt que d’informer la Cnil leurs propres failles. Il est temps de dépasser cet état de fait. Les juristes doivent devenir les moteurs de la cyber-protection.

Louise Tydgadt