De nouvelles règles concernant la protection des données personnelles prendront effet l’année prochaine en Europe. Sergio Pierro, spécialiste de la responsabilité civile professionnelle et des risques cyber chez XL Catlin à Paris, nous explique comment les entreprises peuvent d’ores et déjà se préparer à ces changements.
Le nouveau règlement européen sur les données personnelles (GDPR) entrera en application en mai 2018. Quelles sont les implications pour les entreprises européennes ?
Tout d’abord, parce que ce règlement sera appliqué à travers l’Europe, toutes les données seront traitées de la même manière. Toutes les sociétés, y compris les petites et moyennes entreprises, à partir du moment où elles collectent, stockent ou utilisent des données personnelles, seront tenues de s’y conformer. Les entreprises devront désigner un Data Protection Officer (DPO) ou, en français, un responsable de la protection des données personnelles –certaines grandes entreprises en ont déjà un. En cas d’atteinte aux données, les sanctions peuvent être conséquentes –les entreprises pourront se voir infliger des amendes allant jusqu’à 4% de leur chiffre d’affaires mondial, ou jusqu’à 20 millions d’euros. Par ailleurs, les entreprises seront tenues, en cas d’incidents, d’informer les autorités de régulation de leur pays sous 72 heures. Le règlement introduit également le concept du droit à l’effacement –qui permettra aux personnes le souhaitant de demander l’effacement de leurs données personnelles, sous certaines conditions– ainsi que celui du droit à la portabilité des données. Comme le règlement est censé protéger le droit des citoyens européens, il s’applique à l’ensemble des entreprises disposant de données personnelles concernant ne serait-ce qu’un citoyen d’un pays membre de l’Union Européenne, même si l’entreprise n’y est pas basée. En d’autres termes, les entreprises américaines, par exemple, seront également impactées par le GDPR et devront s’y conformer.
On ressent déjà l’influence du règlement sur les décisions de nos clients, qui sont de plus en plus intéressés par les solutions assurantielles répondant aux risques cyber.
Que font les entreprises pour se préparer à ces nouvelles règles ?
Nous avons remarqué un regain d’intérêt pour l’encodage des données, par exemple pour la transmission de données d’un bureau à l’autre. Les entreprises utilisent également davantage de centres de données, et s’intéressent de plus en plus à la sécurité de ces derniers, lorsqu’ils abritent des données personnelles et confidentielles. Par ailleurs, nos clients nous demandent comment leurs données doivent être rendues accessibles –et si cet accès pourrait ou devrait être restreint. Les entreprises mettent également à jour la sécurité de leurs systèmes informatiques et renforcent, notamment, leurs politiques de gestion d’accès à leurs plateformes et à leurs réseaux de télétravail.
L’assurance cyber intéresse-t-elle davantage les entreprises qu’auparavant ?
On ressent déjà l’influence du règlement sur les décisions de nos clients, qui sont de plus en plus intéressés par les solutions assurantielles répondant aux risques cyber. Jusqu’à récemment, de nombreuses entreprises ne faisaient que se renseigner sur le coût d’une couverture cyber. Au cours des derniers 18 mois, en revanche, nous avons reçu bien plus de demandes pour des programmes d’assurance cyber. On doit cet intérêt accru en partie au GDPR, mais également aux nombreuses attaques cyber dont les medias ont beaucoup parlé ces derniers temps, et qui ont alerté de nombreux clients quant au besoin d’avoir une solution de transfert du risque en place. Le marché européen commence à rattraper les Etats-Unis où l’assurance cyber est un segment actif depuis plus de 15 ans et où l’obligation d’informer les autorités en cas d’atteinte aux données a toujours été –du moins, jusqu’à maintenant– plus stricte. L’aspect « gestion de crise » d’une police d’assurance cyber est ce qui intéresse le plus nos clients. Notre couverture permet ainsi à nos assurés de bénéficier de l’expertise d’experts informatiques et de conseillers juridiques lorsque leurs données sont compromises ou dans le cas d’une tentative de cyber extorsion, par exemple. Cette couverture est en général proposée sans sous-limite.
Qu’est-il important d’avoir en tête lorsqu’on choisit une police cyber ?
Tout est question de compréhension de ses risques et de ses besoins. Les courtiers doivent prendre le temps d’apprendre à connaitre leurs clients et à comprendre l’étendue des risques auxquels ils sont confrontés. Ils doivent les aider à identifier leur exposition, quelle que soit la taille ou l’activité de l’entreprise. Une couverture cyber peut faire l’objet d’une police individuelle ou bien être l’extension d’une police existante. Néanmoins, dans la plupart des cas, mieux vaut choisir une police dédiée dont les sous-limites seront mieux adaptées.
À propos de l’auteur
Sergio Pierro est souscripteur Ligne financières et Risques professionnels chez XL Catlin. Il peut être contacté à sergio.pierro@xlcatlin.com.
