Suite à l’annonce de la nouvelle directive de l’UE sur la protection des données, Matthew Norris, expert en matière de risques liés aux nouvelles technologies (e-risks) et au respect de la vie privée et François Brisson, expert « Data Risks » (solution d’assurance contre le hacking), nous livrent leurs impressions :

« La nouvelle proposition de directive, qui porte entre autres sur l’obligation de notification de toute perte des données, s’inscrit dans une optique plus large, commente Matthew Norris. Elle consiste à accroître la pression sur les sociétés afin qu’elles soient capables de détecter les violations en matière de données et d’y remédier rapidement. Certaines entreprises ont subi des pertes de données importantes au cours de l’année écoulée, et la rapidité de réaction est cruciale, dans de tels cas, pour en limiter les effets négatifs.

Cette proposition de directive exige de certaines entreprises de e-commerce qu’elles contactent les autorités de contrôle dans les 24 heures après une attaque, et à indiquer la nature des données volées « dès que possible dans un délai raisonnable ». Cependant, signaler une violation de données complexe dans un tel délai peut s’avérer difficile. A ce stade, beaucoup d’incidents seront en pratique encore en cours d’investigation technique. Il est donc nécessaire de disposer d’un Plan de Réponse à Incidents, déjà approuvé et mis en place. Celui-ci permettrait à l’entreprise de répondre de la manière la plus détaillée possible et dans un délai le plus court possible. C’est particulièrement important pour limiter au maximum les dommages causés à l’image de la marque et d’éviter les sanctions potentielles ».

Il est vital pour les entreprises de disposer d’un Plan de Réponse à Incidents efficace, afin de limiter au maximum les dommages en cas de violation des données. Pour le mettre en place, il est important de :

• Désigner une personne chargée de prendre contact rapidement avec la société d’expertise technique en
  cas de violation
• Déterminer le moment où il est opportun de faire appel à un avocat, par exemple pour disposer d’un
  conseil juridique et maîtriser le contentieux si le rapport d’expertise fait apparaître des éléments défavorables
• Désigner une société d’expertise technique avec laquelle collaborer en cas de violation
• Passer un accord avec une société d’expertise technique qui fixera le cadre de la mission et le périmètre
  d’intervention
• Se mettre d’accord sur le tarif horaire avec la société d’expertise technique dans le cadre du contrat

Anelise LAMBERT
Assureur
risques-entreprise.fr/