Vol de données : il pensait avoir délégué la responsabilité à un prestataire

Les marques parlent aux lecteurs du JDN - en savoir plus ?

Vol de données : il pensait avoir délégué la responsabilité à un prestataire En sous-traitant l'hébergement de données à un prestataire, certaines entreprises oublient qu'elles en sont tout de même responsables.

Confrontées au vol ou à la perte de ces données, les entreprises doivent apprendre à gérer une situation de crise. 

Toutes les adresses e-mail sont perdues… Les employés de la petite start-up Tech, qui propose aux entreprises la gestion automatique de campagnes e-mails et SMS, tombent des nues.

Le stockage des données (sensibles) des destinataires est géré par un prestataire externe. Pour les voler, les pirates se sont procuré les accès aux serveurs hébergeant les données… La start-up, qui se voit contrainte d'interrompre son activité, se retourne contre son prestataire. Mais les choses ne sont pas si simples.

"Même si une société ne gère pas directement ses données, elle en est responsable", soutient Frédéric Rousseau, responsable marché Cyber chez Hiscox Assurance France. Comment agir ? Une recherche de responsabilité peut être engagée, ce qui peut à juste titre être vain. Mais en attendant, il y a une crise à gérer et il faut communiquer rapidement.

"Le pire, c'est de garder le silence", avertit Anita Baltagi, responsable communication d'Hiscox France. Chez Hiscox, des experts aident à la communication de crise en déroulant une stratégie permettant à la fois de préserver la bonne image de l'entreprise attaquée et de rassurer ses clients. "Nous mettons en place une cellule de crise pour identifier clairement les porte-paroles et aligner les messages à communiquer en interne et en externe", ajoute Anita Baltagi. Par le passé, dans son accompagnement de l'assuré, Hiscox est même allé jusqu'à financer un call center afin de prévenir les clients d'une entreprise attaquée.

Hiscox fournit aussi l'assistance juridique nécessaire, mandate un cabinet d'avocats experts afin d'accompagner la société dans ses obligations de notification sur les potentielles violations présentant un risque pour les droits et libertés des personnes à la Commission nationale de l'informatique et des libertés (CNIL). " Pour gérer les échanges avec la Cnil mieux vaut être expert pour parler le même langage, donc avoir recours à des avocats spécialisés et sensibles au sujet. Les sanctions de la Cnil peuvent s'avérer sévères, dans les cas les plus graves, mais aussi plus rares, C'est-à-dire jusqu'à vingt millions d'euros ou 4% du chiffre d'affaires mondial."  Il est indispensable d'être bien accompagné.