Dès l'entrée en vigueur de la nouvelle législation, toutes les entreprises devront assurer la confidentialité de leurs clients ou de leurs fournisseurs et protéger l'intégrité et l'accès aux données.
"Le souhait, c'est de garantir la protection des données personnelles et sensibles de l'ensemble de la société, que ce soit les collaborateurs, les clients, les partenaires, etc.", explique Sylvain Pasini, professeur à la HEIG-VD et responsable du pôle de sécurité informatique, dans La Matinale de la RTS. "Donc ça comprend évidemment la sécurité des données, mais aussi la traçabilité des traitements", précise-t-il.
Des mesures à prendre
De nombreuses PME ne se sont pourtant pas encore conformées aux nouvelles exigences de cette loi. Selon Sylvain Pasini, le premier pas à accomplir pour les entreprises consiste à faire l'inventaire des données personnelles. "On va lister le type de données, le type de destinataires, la finalité, etc. et puis ensuite mettre en place les mesures sécuritaires adéquates", explique-t-il.
Afin de se mettre à niveau, les entreprises doivent donc se poser trois questions, selon Nicolas Duc, responsable fiscal et juridique pour la région romande de la société d'audit BDO. "La première, c'est 'est-ce que j'ai un registre des activités de traitement?'", dit-il, expliquant que cela concerne "les grands flux de données personnelles en ce qui concerne ses employés, ses clients, ses fournisseurs ou d'autres partenaire éventuels".
Elles devront ensuite se demander si elles ont mis en place des mesures en cas d'attaque informatique et, enfin, quelles sont les mesures techniques et organisationnelles pour assurer une protection des données proportionnée à la taille de l'entreprise.
Sylvain Pasini rappelle que ces mesures concernent "la sécurité dans son ensemble". Concrètement, cela signifie qu'il faut commencer par "la sécurité physique des systèmes et des serveurs, leur mise à jour, donc la sécurité intrinsèque des systèmes". Le professeur à la HEIG-VD explique également qu'il faut être en mesure de "savoir qui a accédé, saisi, modifié ou encore communiqué telle ou telle donnée".
Amende et plainte pénale
Si la protection mise en place n'est pas jugée suffisante, les responsables des entreprises incriminées s'exposent à des plaintes. "Le risque le plus important, c'est que c'est une responsabilité pénale et personnelle", explique Nicolas Duc. "C'est là qu'il faut être particulièrement vigilant et bien réfléchir à qui veut porter cette responsabilité."
Selon lui, les entreprises doivent donc se demander s'ils veulent placer la responsabilité entre les mains du chef d'entreprise ou si elles souhaitent "déléguer cette responsabilité à une personne à l'interne ou à la société qui serait en charge de leur informatique".
Les contrevenants à la nouvelle loi s'exposent aussi à une amende pouvant aller jusqu'à 250'000 francs, ce qui pourrait avoir des conséquences sur la cybercriminalité, selon Sylvain Pasini. "Comme les sanctions seront plus grandes, on s'attend à ce que les attaquants - les hackers - en profitent pour demander des rançons plus élevées qu'aujourd'hui, puisque finalement il y a un risque et un dommage qui est plus important pour la victime", explique-t-il.
Il est difficile, selon lui, de prévoir le comportement d'une entreprise en cas d'attaque informatique, "parce qu'elle va être confrontée à des sanctions potentiellement financières ou pénales face à une rançon". Mais le conseil reste toujours le même, explique-t-il: "ne payez pas et contactez la police".
Pour les PME, le risque vient surtout de cyberattaques ou de personnes insatisfaites de la société. Pour se protéger, elles doivent donc documenter tout ce qu'elles ont mis en place pour sécuriser les données personnelles en leur possession.
Sujet radio: Dominique Choffat
Adaptation web: edel