Le règlement général sur la protection des données (RGPD) du 23 mai 2018 est relatif à la protection des personnes physiques, à l'égard du traitement des données à caractère personnel, et à la libre circulation de ces données.
Ce règlement impose aux entreprises, qui détiennent des données personnelles, une discipline afin de protéger ces données confidentielles. Les données à caractère personnel sont celles qui permettent d’identifier une personne, directement ou indirectement (nom, prénom, numéro de téléphone, adresse, etc.). Enfin, certaines données sont plus sensibles et soumises à des règles de protection particulières, par exemple les données touchant la vie privée (données de santé) ou les données bancaires.
La CNIL (Commission Nationale de l'Informatique et des Libertés) propose quatre actions principales pour répondre à ce règlement.
L’entreprise doit :
- Se constituer un registre de ses traitements de données : un document qui permet de recenser tous les fichiers et d’avoir une vision d’ensemble.
- Faire le tri dans ses données : la constitution du registre permet de s’interroger sur les données dont l’entreprise a réellement besoin.
- Respecter les droits des personnes : ce règlement renforce l’obligation d’information et de transparence à l’égard des personnes dont l’entreprise traite les données (salariés, clients, etc.).
- Sécuriser ses données : en mettant à jour de les antivirus et logiciels, en changeant régulièrement les mots de passe et en utilisant des mots de passe complexes, ou en chiffrant les données dans certaines situations. Ainsi, en cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.
En plus des actions proposées par la CNIL et dont les détails sont sur leur site (https://www.cnil.fr/fr/rgpd-par-ou-commencer), l’assurance cyber répond en partie aux contraintes du RGPD.
En effet en cas de vol ou de perte de données personnelles, une entreprise a deux obligations :
- la notification initiale à la CNIL, qui doit être faite dans les 72h
- si la CNIL l’exige, la notification aux personnes dont les données ont été atteintes.
Or les entreprises ne sont pas préparées à gérer ces notifications (vers qui se tourner, comment déclarer à la CNIL, etc.). De plus, les notifications ont un coût. On évalue à environ 10 € par personne le coût d’une notification suite à un vol de données personnelles (constitution de la base de données, rédaction de la notification, frais de LRAR, suivi téléphonique, etc.).
Or, le contrat d’assurance cyber permet à l’entreprise victime d’une violation des données personnelles d’être accompagnée pour :
- Mener une action d’expertise et d’assistance informatique
- Notifier cette violation à la CNIL
- Prendre en charge les frais de notification et d’information individuelle aux personnes concernées par la violation de leurs données personnelles
- Mettre en place une plateforme téléphonique si nécessaire
- Assister juridiquement l’assuré
- Aider l’assuré à mettre en œuvre un plan de communication si la réputation de l’entreprise est dégradée
Ainsi, l’assurance Cyber, en plus des mesures préconisées par la CNIL, permet d’apporter une réponse plus complète aux contraintes du RGPD et prend en charge une partie des frais engendrés par une violation de données personnelles.