J’en pète un câble!

Mon entreprise a récemment été la cible d’une cyberattaque. Notre informaticien est actuellement mobilisé pour évaluer l’ampleur du sinistre: pertes financières, récupération des données compromises, identification des informations potentiellement volées… Tout est passé au crible. Une question me préoccupe toutefois: suis-je légalement tenu d’annoncer cet incident à qui que ce soit si je ne veux pas faire marcher mon assurance? J’ai l’impression que, dans bien des cas, les entreprises préfèrent garder le silence, par honte ou par peur de ternir leur image.

Jean-Daniel, Genève.

Oui, en Suisse, les entreprises ont en principe l’obligation d’annoncer une cyberattaque si celle-ci entraîne un risque élevé pour les personnes concernées.

Selon la loi fédérale sur la protection des données (LPD), toute entreprise soumise à cette loi qui constate une violation de la sécurité des données doit, dans les meilleurs délais, la notifier au Préposé fédéral à la protection des données et à la transparence (PFPDT) si cette violation est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (art. 24 LPD). Dans certaines situations, l’Office fédéral de la cybersécurité doit aussi être informé. Ce n’est donc pas toute faille informatique qui doit être signalée, mais seulement celles qui sont suffisamment graves pour compromettre la sécurité ou la vie privée des personnes physiques.

Concrètement, il peut s’agir d’un piratage ayant exposé des données sensibles – informations de santé, coordonnées bancaires ou données d’identification – à des tiers non autorisés. En pareilles circonstances, l’annonce au Préposé doit contenir un descriptif de la nature de la violation, les conséquences probables pour les personnes touchées ainsi que les mesures prises pour y remédier. Si ces personnes peuvent se protéger grâce à cette information, elles doivent également être averties individuellement.

En revanche, une simple panne informatique ou une tentative d’intrusion rapidement avortée, sans accès effectif à des données personnelles, ne nécessite pas de notification. L’entreprise doit toutefois documenter l’incident, évaluer les risques et être prête à démontrer qu’aucune atteinte grave n’a été constatée.

Dans votre cas, il faudra déterminer si la cyberattaque a réellement compromis des données personnelles et si le risque pour les personnes concernées est jugé «élevé». Si tel est le cas, une communication officielle s’impose, même si elle peut paraître délicate sur le plan de la réputation. Une absence de communication pourrait en effet exposer l’entreprise à des sanctions administratives selon la LPD.

Dans le monde numérique, le silence n’est pas toujours d’or. Il vaut ainsi bien mieux gérer cette crise tant en interne qu’auprès des personnes concernées pour éviter toute mauvaise surprise supplémentaire.