Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 383

Dans le cas de Hertz, si la garantie est
déclenchée par l'atteinte aux données, il
n'apparait pas qu'il y ait eu atteinte aux
données, ou rien ne permet de l'affirmer,
il n'y a eu que constatation par les agents
de la Cnil d'un défaut de programmation
susceptible potentiellement de constituer
un défaut de sécurité possiblement générateur d'une atteinte aux données, non
avérées semble-t-il. En effet c'est par un
contrôle en ligne que la Cnil a constaté que
les mesures garantissant la sécurité et la
confidentialité des données des adhérents
au programme de réduction de la société
Hertz étaient insuffisantes.

Si la garantie d'assurance est
déclenchée par la réclamation du
tiers lésé ou par une décision d'une
autorité de contrôle, pour l'essentiel la
condamnation par la Cnil
Dans ce cas, l'assureur peut se trouver
dans la situation peu favorable pour lui de
ne pas avoir accompagné l'assuré dans
toute la phase de gestion de crise, dès la
mise en évidence d'un incident de sécurité. Or la délibération de la Cnil dans l'affaire Hertz démontre toute l'importance de
la gestion de crise dans la minimisation
des conséquences, et par ricochet dans la
charge d'indemnisation par l'assureur.

En d'autres termes, comme cela apparait
dans la décision de la formation restreinte,
la Cnil a tenu compte de la réactivité de
la société Hertz dans la résolution de la
violation de données, de son initiative de
diligenter un audit de sécurité de son prestataire ainsi que de sa bonne coopération
avec la Commission. A un moment où les
entreprises et les collectivités entament les
250 derniers jours les séparant de la mise
en application du Règlement, on ne saurait
trop insister sur l'importance de la gestion
de crise, qui sera en outre renforcée par les
obligations de notifications de violation de
sécurité.

Néanmoins, rien ne permet d'affirmer que
ce défaut de sécurité ait entrainé ou aurait
pu entrainer une violation de données
personnelles avérée. En effet, il apparait
que sur la base des informations de Zataz,
ce sont les agents de la Cnil qui ont pu accéder librement, à partir d'une adresse URL,
aux données personnelles renseignées par
35.357 personnes inscrites sur le site « www.
cartereduction-hertz.com » (identité, coordonnées, numéro de permis de conduire).
C'est la loi n° 2014-344 du 17 mars 2014
modifiant la loi Informatique et libertés qui
a donné à la Cnil la possibilité d'effectuer
des contrôles en ligne, lui permettant de
constater à distance, depuis un ordinateur
connecté à internet, des manquements à la
loi Informatique et libertés (article 105 modifiant le III de l'article 44 de la loi n° 78-17 du
6 janvier 1978). Ces constatations sont relevées dans un procès-verbal adressé aux
organismes concernés et leur sont opposables. Cette modification crée les conditions juridiques qui permettent d'adapter
le pouvoir d'investigation de la Cnil au
développement numérique. Elle lui offre
l'opportunité d'être plus efficace et réactive
dans un univers en constante évolution. La
Commission peut ainsi rapidement constater et agir en cas de failles de sécurité sur
internet. Elle peut aussi vérifier la conformité des mentions d'information figurant sur
les formulaires en ligne, ou des modalités
de recueil de consentement des internautes
en matière de prospection électronique. Ce
nouveau pouvoir s'applique aux « données
librement accessibles ou rendues accessibles » en ligne ; il ne donne pas la possibilité à la Cnil de forcer les mesures de
sécurité mises en place pour pénétrer
dans un système d'information, mais ne
l'empêche pas d'exploiter les informations
des « lanceurs d'alertes ».

Quels sont les impacts de
la gestion de crise sur les
conditions de fixation de la
sanction pécuniaire et de
l'indemnisation par l'assureur ?

En outre, il est vraisemblable que la Cnil
va user abondamment de la possibilité
d'effectuer des contrôles en ligne, surtout si
elle reconnait le statut de lanceurs d'alerte,
et il est indispensable qu'un interlocuteur
privilégié soit disponible dans l'entreprise
pour répondre à toute sollicitation à très
brefs délais, ce qui suppose la désignation
du DPO. On observe à cet égard que les
assureurs imposent désormais dans les
conditions d'octroi des garanties d'assurance cyber, outre les dispositifs de prévention, des dispositifs de gestion de crise, voire
proposent des solutions d'accompagnement et d'assistance à cet effet.

Sous l'empire de la Loi Lemaire, le rôle de
dissuasion des pouvoirs de la Cnil a été
renforcé puisque les montants maximum
des sanctions pécuniaires, sur le fondement
de l'article 45 I 2° de la loi du 6 janvier 1978,
ont été significativement revus à la hausse.
En effet, l'amende peut désormais s'élever
jusqu'à 3 millions d'euros, ce qui représente une multiplication par dix du plafond
antérieur.
Mais ce que l'on doit retenir, c'est que les
critères d'appréciation pouvant être pris
en compte pour évaluer le montant de cette
amende, qui doit être « proportionné à la
gravité du manquement commis et aux
avantages tirés de ce manquement » ont,
en outre, été détaillés pour permettre à la
Cnil de prononcer une sanction plus juste
et éclairée. La formation restreinte prend
ainsi notamment en compte le caractère
intentionnel ou de négligence du manquement, les mesures prises par le responsable
du traitement pour atténuer les dommages
subis par les personnes concernées, le
degré de coopération avec la commission
afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel
concernées et la manière dont le manquement a été porté à la connaissance de la
commission.
Ceci préfigure les dispositions prévues
dans le règlement européen qui dispose
dans son article 83 les conditions générales
pour imposer des amendes administratives afin qu'elles soient dans chaque cas,
effectives, proportionnées et dissuasives.

EXPERTISES NOVEMBRE 2017

Quels sont les évolutions qui
pèseront sur l'indemnisation par
l'assureur ?
La première question qui revient de
manière lancinante chez tous les assureurs
cyber est relative à l'assurabilité ou non de
cette sanction pécuniaire administrative
infligée par la Cnil. On a vu ci-dessus que
la délibération rendue à propos de Hertz
était pleine d'enseignements au regard
des conditions de fixation de la sanction
pécuniaire. Si Hertz n'a finalement écopé
que d'une pénalité de 40.000 €, elle aurait
pu faire l'objet d'une sanction pécuniaire
maximum de 3.000.000 € dans le cadre
de la loi pour une République numérique,
et pour des faits similaires à partir du
25 mai 2018, sous l'empire du règlement
européen, ce seront soit une pénalité de
10.000.000 €, soit 2% du CA mondial de l'entreprise condamnée.
On ne reviendra pas davantage sur l'assurabilité des sanctions administratives, qui a
fait l'objet d'un excellent article par Nicolas
Hélénon et Clarisse Heslaut publié dans
cette revue en mai 2017 (n° 424). Tout au plus

383



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES DUR COMBAT AUTOUR DE L’E-PRIVACY
EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEWS
BREVETABILITÉ DE LOGICIELS INSÉCURITÉ JURIDIQUE
VALORISER SES ACTIFS IMMATÉRIELS
DOCTRINE
DONNÉES - DE QUELQUES QUESTIONS SUR LA PROPRIÉTÉ DES DONNÉES DE PAIEMENT
DONNÉES PERSONNELLES - LES ENSEIGNEMENTS DE LA DÉLIBÉRATION HERTZ POUR L’ASSURANCE CYBER
CYBERCRIMINALITÉ - DARKNET, ZONE DE NON-DROIT OU TERRA INCOGNITA POUR LE JURISTE ?
DONNÉES PERSONNELLES - MISE À DISPOSITION DES DONNÉES DE SANTÉ (2)
MARQUES VERBALES - POUR OPTIMISER UNE DÉFENSE DES MARQUES SUR L’INTERNET
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - FOCUS DONNÉES PERSONNELLES DUR COMBAT AUTOUR DE L’E-PRIVACY
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 365
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 366
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 367
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 369
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 370
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 371
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - BREVETABILITÉ DE LOGICIELS INSÉCURITÉ JURIDIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 373
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - VALORISER SES ACTIFS IMMATÉRIELS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 375
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 376
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 377
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - DONNÉES - DE QUELQUES QUESTIONS SUR LA PROPRIÉTÉ DES DONNÉES DE PAIEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 379
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 380
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - DONNÉES PERSONNELLES - LES ENSEIGNEMENTS DE LA DÉLIBÉRATION HERTZ POUR L’ASSURANCE CYBER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 382
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 383
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 384
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - CYBERCRIMINALITÉ - DARKNET, ZONE DE NON-DROIT OU TERRA INCOGNITA POUR LE JURISTE ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 386
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 387
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - DONNÉES PERSONNELLES - MISE À DISPOSITION DES DONNÉES DE SANTÉ (2)
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 389
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 390
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 391
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 392
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 393
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 394
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - MARQUES VERBALES - POUR OPTIMISER UNE DÉFENSE DES MARQUES SUR L’INTERNET
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 396
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 397
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 398
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 399
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 400
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com