Protection des données

Finance et risque cyber : un danger sous-estimé ?

Stéphane CHOISEZ, Avocat Associé Cabinet NCA, revient sur l'importance que revêt pour les acteurs de la banque et de l'assurance de prendre la mesure des risques d'une intrusion dans leurs systèmes informatiques à l'heure où, notamment, l'action de groupe est introduite en France.

« Ils ne mourraient pas tous, mais tous étaient frappés »

Souhaitons que le sort funeste évoqué par Jean de La Fontaine, - dans « les animaux malades de la peste » - reste de l’ordre de la simple fable.Mais il est une évidence que les banques ou établissements financiers ne peuvent négliger ; leurs données, celles de leurs clients sont parmi les données les plus recherchées par les fraudeurs et hackers.

Quiconque est allé se promener sur le deep web, et à découvert le dark web, sait que parmi les données qui se vendent et s‘achètent aisément, les données bancaires figurent en bonne place. Parce que la banque, la finance, sont de grandes consommatrices de fichiers et de données. Parce que parmi ces données figurent des données bancaires, clef des fraudes majeures. De telles données valent d’autant plus cher qu’elles permettent de lancer différentes attaques sur les consommateurs allant du phishing, à l’intrusion via les codes récupérés, voire encore à l’usurpation d’identité pure et simple. 

Certes ces données sont supposé être protégées, et à l’abri de toute intrusion, mais l’exemple extrêmement récent de la banque BARCLAYS, qui a vu les données personnelles de plus de 27.000 de ses clients volées et revendues, malgré tous les systèmes de sécurité mis en place, interroge sur le risque de réalisation, en France, d’un tel hold-up de données cyber, notamment au regard de la créativité des hackers. Et cet exemple qui a touché la banque anglaise n’est d’ailleurs qu’une faible démonstration du pouvoir de nuisance de ce que peut permettre une intrusion informatique « réussie », telle celle qui a frappé la chaine TARGET aux Etats-Unis, et dont on évalue actuellement le coût pour l’entreprise à près d’un milliard de dollars…

Cette prise de conscience de l’importance qu’est en train de prendre le risque cyber, amène les responsables assurances ou risks managers de banques ou d’établissements financiers à améliorer toujours plus leurs systèmes de défense. Et ce, alors que le champ législatif et règlementaire s’alourdit puisque, aussi bien au plan interne qu’européen, des contraintes supplémentaires paraissent s’ajouter chaque jour sur les entreprises.

Aujourd’hui, la responsabilité civile et pénale de l’établissement bancaire ou financier…

Une responsabilité civile en germe

Une banque ou un établissement financier peut être responsable de la faiblesse de ses propres systèmes de sécurité informatique.

L’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à la Loi Informatique et Libertés, rappelle que  « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » En d’autres termes, tenu d’une obligation de moyen, le responsable du traitement – et donc in fine son employeur, c’est-à-dire l’entreprise - est chargé de protéger les données et d’éviter les intrusions en mettant en place les moyens les plus adaptés pour préserver les clients de tout accès illicite à leurs données personnelles.

Même si curieusement l’article 34 de la loi du 6 janvier 1978 n’a pour l’instant pas encore servi de fondement spécifique à une action en responsabilité devant les Tribunaux, gageons en tout cas en matière bancaire et financière, et parce que la « nature des données et les risques présentés par le traitement » portent concrètement sur des coordonnées bancaires des codes PIN, des RIB, qu’elles seront un jour aux yeux des tribunaux susceptibles de devoir être plus protégées que d’autres, même si nous ne sommes pas arrivés – et c’est heureux - au principe d’une obligation de résultat.

Un jugement rendu par le Tribunal de Grande Instance de Paris en date du 21 février 2013 – frappé d’appel - donne une idée de ce que pourrait devenir la jurisprudence en cette matière. Dans le cadre de cette procédure, la société SARENZA s’était vue imputer une responsabilité partagée à hauteur de 30 % dans la réalisation de son propre préjudice, lié à l’intrusion à la suite d’un piratage du contenu de ses fichiers, au motif que si la société SARENZA avait effectivement sécurisé l’accès à sa base de données sur internet, il avait été considéré que la gestion des identifiants était insuffisamment rigoureuse et devait être sanctionnée ; Et encore ne s’agissait-il que d’une utilisation de fichiers au profit d’une autre entreprise.

Cela ne signifie pas que toute intrusion est synonyme de responsabilité pour l’opérateur bancaire ou financier, mais qu’eu égard à la nature des données qu’il doit protéger, à sa puissance économique et ses capacités techniques, une faille par trop évidente ou connue à laquelle il n’aurait pas été remédiée, pourrait être de nature à engager sa propre responsabilité non seulement dans l’indemnisation de son propre préjudice, mais serait potentiellement génératrice de responsabilité envers ses clients, dont les données auraient été exploitées de façon illicite.

La responsabilité pénale potentielle des opérateurs d’importance vitale

La responsabilité de la banque ou de l’établissement financier peut également être aggravée si elle relève du régime des opérateurs d’importance vitale.

L’article L 1332-1 du Code de la Défense rappelle que seront qualifiés d’opérateurs d’importance vitale les « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenues de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l'autorité administrative. »

Particulièrement méconnu, ce corps de règles inscrit dans le code de la défense, qui concernerait 200 personnes morales en France, dont plusieurs banques, donne même parfois l’impression qu’il a pour vocation de rester, sinon secret, au moins extrêmement discret.La principale caractéristique de ce régime est qu’il oblige chaque opérateur à établir, à ses propres frais (article L 1332-1 du Code de la Défense) un plan particulier de protection « dressé par l’opérateur et approuvé par l’autorité administrative », au sens de l’article L 1332-3 du Code de la Défense. De surcroît, le texte de l’article L 1332-3 du Code de la Défense en son alinéa 2 impose une règle contraignante : « Ces mesures comportent notamment des dispositions efficaces de surveillance, d'alarme et de protection matérielle. »

La Loi de programmation militaire 2014-2019 (Loi 2013-1168 publiée au JORF n° 0294 du 19 décembre 2013 – page 20570) introduit de surcroit des obligations supplémentaires relatives à la sécurité des systèmes d’information dans un régime juridique déjà contraignant. Ainsi, parmi de nombreuses obligations issues de la Loi de Programmation Militaire, on relèvera que l’article L 1332-6-2 du Code de la Défense oblige les opérateurs d’importance vitale à signaler « sans délai » au Premier Ministre les incidents affectant le fonctionnement et la sécurité des systèmes d’information. Rappelons que l’article L 1332-7 du Code de la Défense frappe de sanctions pénales, non pas les opérateurs d’importance vitale, entendus en tant que personnes morales, mais les dirigeants de ces mêmes opérateurs d’importance vitale ; Ainsi sera puni d’une amende de 150 000 €, le fait pour un dirigeant de ne pas réaliser les prescriptions imposées par l’autorité administrative en matière de plan de protection ou de réalisation des travaux de sécurisation prévus.

Néanmoins, désormais, sera puni d’une même amende soit 150.000 €,  le dirigeant de l’OIV, qui ne satisfera pas aux obligations prévues aux articles L 1332-6-1 à L 1332-6-4, c’est-à-dire les obligations attachées au respect de la sécurité des systèmes d’information de ces OIV, imposées par la Loi du 18 décembre 2013. A noter que depuis la loi de programmation militaire 2014-2019, les personnes morales peuvent être déclarées pénalement responsables, au sens de l’article L 121-2 du Code Pénal, des infractions qui touchaient auparavant les seuls dirigeants. Mais cette loi n’est pas la seule à impacter le domaine de la banque et de l’assurance.

…Demain, la loi sur les class actions et le paquet européen

La Loi sur l’action de groupe

La loi relative à la consommation du 17 mars 2014 (Loi n°2014-344), validée par la décision du conseil constitutionnel du 13 mars 2014 (décision n°2014-690), a créé une action de groupe « à la française », qui pourra servir à sanctionner une banque ou un établissement financier qui ne respecterait pas ses obligations légales en matière de cyber-risk. Certes, le nouvel article L 423-1 du Code de la Consommation ne concerne que la relation B to C, soit entre professionnels et consommateurs, mais c’est bien la seule limitation du périmètre légal de la loi sur l’action de groupe qui soit, dont une rumeur tenace excluait pourtant banque, finance et assurance.

Rien de tel en droit puisque l’article L 423-1 du Code de la Consommation rappelle que notamment l’action de groupe peut survenir dès lors qu’on est en présence d’un manquement d’un même professionnel « à ses obligations légales ou contractuelles » et ce « à l’occasion de la vente de biens ou de la fourniture de services. »

Si demain, parce qu’une défaillance par trop importante des systèmes de sécurité informatique était révélée, n’était pas traitée, ou n’était pas comblée, ce manquement pourrait qualifier la clé d’entrée d’une association de consommateurs agréée, qui pourrait parfaitement initier une procédure d’action de groupe à l’encontre d’un établissement bancaire ou financier, faute d’avoir suffisamment protégé les données personnelles de ses clients.

Le futur paquet européen

Que dire de l’arrivée du futur paquet européen, composé d’un règlement sur le traitement des données et d’une directive sur leur protection, qui demain devrait être voté en assemblée plénière du parlement européen, avec une application prévue au 1er janvier 2016.

Outre de très nombreuses contraintes relatives au droit à l’oubli (article 17 du projet de règlement) ou à la portabilité des données (article 18), ce futur régime européen de la protection des données personnelles a vocation à obliger, en cas de cyber-attaque, à une information de l’autorité de contrôle dans les 24 heures – en France la CNIL – et à une information individuelle des clients concernés par le vol de données. Mais c’est surtout la sanction de ces futures règles qui mène à réfléchir, puisqu’il est prévu le principe d’une amende de 2 à 5 % du chiffre d’affaires annuel mondial.

Bien évidemment toutes ces contraintes ne créent pas nécessairement des risques immédiats et automatiques à la charge de l’opérateur bancaire ou financier ; Mais ils sont autant d’avertissements, amenant tout professionnel du monde de la Banque et de la Finance à devoir protéger au mieux des intérêts de ses clients les données personnelles de ceux-ci, surtout lorsque celles-ci éveillent un tel intérêt de la part des hackers. Ce sera sans nul doute la meilleure façon d’éviter la mise en cause de la responsabilité civile, pénale ou disciplinaire de ces banques et établissements financiers.

C’est à ce prix que la fable de LA FONTAINE restera une simple histoire.