Publié jeudi 5 novembre 2020 à 08:30
Modifié jeudi 5 novembre 2020 à 10:01

Avec la numérisation progressive de tous les secteurs de l’économie, les quantités de données à traiter par les entreprises explosent littéralement. De nouvelles réglementations sont adoptées par les Etats afin de s’assurer du bon usage de cet «or noir» du XXIe siècle. Le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE), applicable depuis 2018, compte parmi les lois sur la protection des données les plus influentes de ces vingt dernières années. Il s’applique aussi aux entreprises suisses ayant des clients domiciliés dans l’UE.

En Suisse, les Chambres fédérales se sont récemment mises d’accord sur la révision de la loi sur la protection des données (LPD). Toutes les entreprises helvétiques, des plus grandes aux plus modestes, sont concernées par cette législation. Aujourd’hui, cependant, la grande majorité des PME n’ont pas encore conscience de l’importance de ces nouvelles règles sur leur fonctionnement quotidien. Elles sous-estiment également le risque de vols ou de pertes de données dont elles peuvent être victimes. Grâce à ses nombreuses solutions d’assurance, Vaudoise Assurances se positionne comme un partenaire privilégié des entreprises pour les accompagner dans ce domaine.

Classer et comprendre les données
Chaque PME, quelle que soit sa taille, possède un certain nombre de données sur ses clients, partenaires et collaborateurs. Comme l’a rappelé PwC dans une étude parue en 2017, le paysage réglementaire couvre deux grandes catégories de données: les données personnelles (les noms, adresses, etc., de clients, employés ou partenaires) et les données personnelles sensibles (liées à la santé, la religion, l’ethnie, l’orientation politique, etc.). Ces données peuvent être structurées dans des bases de données, ou se trouver dans des dossiers partagés. Le risque, en cas de non-respect de la législation sur la protection de ces données, est de devoir payer une grosse amende: jusqu’à 500 000 francs en Suisse, et jusqu’à 20 millions d’euros ou 4% des revenus mondiaux dans l’UE. De tels montants sont susceptibles de facilement mettre en danger une PME.

Selon PwC, la première tâche des entreprises qui s’attellent à la protection des données est donc de «classer et de comprendre les données dont elles disposent, leur localisation et la manière dont elles les gèrent. L’étape suivante consiste à comprendre comment les protéger: comment éviter qu’elles ne soient volées, vendues illégalement à d’autres entreprises ou utilisées à des fins auxquelles la personne concernée (le client, le partenaire commercial ou l’employé, par exemple) n’a pas consenti.»

Les PME, cibles des hackers
Aujourd’hui, en effet, beaucoup de PME pensent encore qu’elles n’intéressent pas les hackers. Mais de nombreuses statistiques démontrent qu’elles sont en fait de plus en plus exposées aux pertes financières liées aux attaques cybernétiques. Dans une enquête publiée en 2017, KPMG soulignait que 88% des entreprises suisses avaient été confrontées à une cyberattaque au cours des 12 mois précédant l’enquête, contre 54% l’année d’avant. Dans les deux tiers des cas environ, le piratage avait ensuite causé une interruption des activités commerciales. Et un bon tiers des entreprises sondées s’étaient fait dérober des données confidentielles, de clients ou de partenaires. La même année, un sondage réalisé par gfs-zürich auprès de 300 PME suisses laissait entendre également que 23 000 sociétés (4% des sociétés helvétiques) avaient été exposées à des manœuvres de chantage, et que 290 000 entreprises (36%) avaient été confrontées à des malwares.

L’hameçonnage (ou phishing) est l’un des moyens les plus fréquemment utilisés par les hackers pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. Plus concrètement, il s’agit de mails frauduleux dont le but est de dérober les identifiants des personnes les plus crédules, par retour d’e-mail ou via un formulaire web généralement hébergé sur un site piraté. Le but des hackers est de disposer d’accès privilégiés au système d’information de l’entreprise afin d’envoyer des spams ou d’accéder à des ressources protégées.

Une expertise pour le traitement des données
De manière générale, pour être conforme à la loi, le traitement des données personnelles et sensibles doit respecter un certain nombre de principes généraux. Il doit d’abord être fait de manière loyale, en toute bonne foi. De ce principe découle notamment la transparence de la collecte et du traitement, ou encore le fait que ce dernier doit répondre à un intérêt raisonnable. Ensuite, la collecte des données et sa finalité doivent être reconnaissables par la personne concernée. L’usage qui en est fait doit être conforme à ce qui est indiqué au moment de la collecte. Dernier point, l’entreprise qui traite des données personnelles doit s’assurer qu’elles sont correctes et à jour.

La sécurité ne se limite pas à une question de technologie. C’est aussi une question de processus et de personnes. Comme le souligne PwC dans son étude de 2017, pour relever les défis de la protection des données, une entreprise a besoin d’expertise dans tous ces domaines. «En plus de décider de la technologie (cryptage, pare-feu, etc.), quelqu’un doit définir un cadre de confidentialité des données et coordonner les rôles et responsabilités pertinents» dans l’entreprise. «Cela requiert de l’expertise à la fois en droit et en informatique.»

Les assurances, protection indispensable
«Reste qu’aucune mesure de protection, quelle que soit sa solidité, n’est un rempart absolu contre le vol ou la perte de données clients», souligne Pierre Hüppi, chef de service souscription RC à la Vaudoise.

Pour cette raison, chaque PME devrait songer aussi à des solutions d’assurance. De nombreux assureurs offrent désormais des couvertures complètes contre les cyberattaques. C’est le cas de la Vaudoise. En complément de son assurance responsabilité civile pour les entreprises Business One, elle propose par exemple une couverture Cyber & Protection des données. Celle-ci comprend une protection lors d’attaques contre les données électroniques ou les systèmes de traitement de l’information, d’accès non autorisés aux données électroniques, d’intrusions dans les systèmes de traitement de l’information et d’actions de programmes malveillants (virus). Elle englobe une assurance en cas d’atteinte à la protection des données, également en l’absence de cyberattaque.

Un employé oublie par inadvertance un dossier confidentiel dans le train et son contenu est divulgué dans la presse? Une personne malveillante récupère les informations de la base de données clients et les publie sur internet? La Vaudoise propose une protection en cas de dommages économiques de ce genre causés à des tiers. Elle défend également ses clients contre d’éventuelles prétentions à leur encontre et indemnise celles qui sont justifiées. En outre, la Vaudoise offre une assistance technologique par téléphone (installation de logiciels et conseils en matière de hardware, etc.). En cas d’attaque IT ou d’atteinte à la sécurité des données, ce service d’assistance est atteignable par téléphone 7 jours sur 7, 24 heures sur 24, si nécessaire également sur place auprès de ses clients.

Le groupe Vaudoise Assurances
Fondée en 1895, la Vaudoise assure les clients privés et entreprises dans toute la Suisse. La clientèle trouve auprès de son réseau de plus de 100 agences un service de proximité tant en matière de conseil en assurances et en prévoyance que de règlement des sinistres. Elle emploie plus de 1650 collaborateurs, dont une centaine de personnes en formation. Fidèle à ses origines mutualistes, elle verse chaque année une partie de ses bénéfices, en alternance aux assurés Véhicule à moteur et Responsabilité civile/Choses, équivalant à un rabais de prime respectivement de 10 et 20%. En 2020, ce sont ainsi 34 millions qui sont redistribués.