28.04.20

Alors que le confinement se prolonge, les solutions de visioconférence et de messageries instantanées font désormais partie du quotidien de nombreux français, qu’ils télétravaillent ou se réunissent entre amis (les fameux « cyber-apéros ») ou en famille via ces outils. Si la popularité de ces solutions va grandissant, la publicité nouvelle qui les entoure révèle aussi aux yeux du plus grand nombre leurs failles, qu’elles soient en matière de sécurité et de protection des données personnelles. Certaines solutions sont d’ores et déjà boycottées par des entreprises, des gouvernements et des administrations, et les entreprises qui ont négligé ou surestimé leur conformité, pourraient bien ne pas s’en relever.

 

Non-conformité : quand l’essentiel n’est rien d’autre que ce que l’on néglige

L’entrée en vigueur du RGPD en mai 2018 a fait couler beaucoup d’encre, et sans doute le montant des amendes qu’il prévoit a marqué les esprits : jusqu’à 4 % du chiffre d’affaires mondial consolidé de l’entreprise ou du groupe auquel elle appartient.

S’il est vrai que des sanctions financières sont effectivement prononcées en France et en Europe, touchant les petites comme les plus grandes entreprises, elles ne sont que la pointe émergée de l’iceberg. Le risque d’image, parfois encore négligé, a souvent des conséquences plus définitives.  

Le cas Fidzup

À titre d’exemple, la société Fidzup, spécialisée dans les campagnes marketing, ne s’est pas relevée en février dernier d’une mise en demeure rendue publique par la CNIL.

Pourquoi cette start-up de 9 ans d’existence, en croissance, et employant une trentaine de personnes a-t-elle été contrainte de mettre la clé sous la porte ? La faute peut-être à un business model fondé sur l’idée que la réglementation s’appliquait seulement aux autres et qu’une taille critique rapidement acquise permettrait par la suite de rendre quasi indolore la sanction (l’exemple des pratiques de Facebook, pour ne citer qu’un acteur, a pu inspirer beaucoup d’entrepreneurs). Dès lors, le souhait affiché par Fidzup de faire valider sa propre conformité par le régulateur, en la « co-construisant », s’est heurté à un mur. La CNIL ne pratique que modérément la chose dans de telles situations : contrôlé et averti, c’est au contrevenant de se mettre en conformité totalement et rapidement, et souvent aux meilleurs standards. Raison pour laquelle il a fallu de très longs mois pour finalement obtenir la clôture de cette mise en demeure en novembre 2018. Or une centaine d’articles de presse s’étaient déjà fait les relais de cette mise en demeure, entraînant un impact irrémédiable sur la confiance de ses clients et, in fine, la mort de son entreprise.

En effet, ce que certains n’ont pas encore intégré se manifeste tous les jours au sein des entreprises : la grande entreprise qui a le plus à perdre (sanction financière, image auprès de ses clients, clients) s’emploie à se mettre en conformité. Et, lorsqu’elle traite des données personnelles, le RGPD est clair : l’entreprise ne doit travailler qu’avec des prestataires intervenants sur ses données qui respectent eux-mêmes le texte. L’effet halo est alors à son paroxysme et la pression très grande sur les épaules des PME et des TPE, allant parfois jusqu’à leur disparition comme dans le cas de Fidzup, morte de sa non-conformité divulguée publiquement et étirée dans le temps.

Cette publicité dont les entreprises se passeraient bien ne vient d’ailleurs pas toujours des autorités de contrôles. A l’heure où nous écrivons ces lignes, certaines solutions, qui gagnaient en popularité avec le confinement, voient leur réputation publique entachée, entraînant des conséquences immédiates, et pour certaines irréversibles.

Le cas Zoom

Tel en sera-t-il le cas pour le service de visioconférences « Zoom » ? Zoom Video Communications, licorne américaine née en 2011 et fondée par des anciens de Cisco, est valorisée 29 milliards de dollars selon le New York Times et figure dans le Magic Quadrant Gartner dans le carré des « leaders » des technologies de webconference. Son chiffre d’affaires a progressé de 88% grâce à une montée en flèche du nombre de ses utilisateurs à travers le monde… sur des chiffres pré-COVID-19. Sachant qu’à l’heure où nous écrivons ces lignes, deux milliards de personnes sont confinées, ce sont près de 200 millions d’utilisateurs actifs quotidiens qui se sont retrouvés en mars dernier connectés à ses serveurs, contre seulement 13 millions en février dernier. Ces chiffres affolent les compteurs… et attirent l’attention des chercheurs en sécurité comme des concurrents toujours à l’affût de dénigrements possibles de la start-up au succès insolent.

Et il faut dire que l’actualité a été riche ces dernières semaines. Au menu, des problèmes de confidentialité, de sécurité et de conformité au RGPD à répétition, relayés par les médias du monde entier qui pourraient bien lui être fatals : absence de chiffrement de bout en bout malgré l’argumentaire commercial publiquement affiché, fuites d’informations via des serveurs en Chine, un demi-million de comptes utilisateurs à vendre sur le « dark web », activation de la webcam sans autorisation, transfert de données personnelles vers Facebook (et sans consentement préalable, ce qui a donné lieu à une action de groupe en cours en Californie), lien d’invitation aux réunions sur des sites publics… À tel point qu’un nouveau terme est apparu au détriment de cette société, le « zoombombing », qui désigne le fait pour des tiers de s’inviter clandestinement à des visioconférences privées.

Le fait que des insultes et des contenus pornographiques, racistes ou nazis aient été proférés et diffusés devant des milliers d’écoliers américains durant leur séance de cours à distance via l’application, a conduit à de nombreux signalements auprès des autorités, notamment le FBI, et a même conduit la procureure de l’État de New York à demander des précisions à Zoom sur les mesures destinées à assurer la sécurité et la vie privée des utilisateurs.

Cerise sur le gâteau : même s’il semble qu’un défaut de sécurité de Zoom n’en soit pas directement à l’origine, le fait que 530 000 identifiants et mots de passe d’utilisateurs de l’application soient actuellement en vente sur le darkweb donne définitivement la pire image possible du service… L’origine, malheureusement banale, serait la somme d’attaques de type « Credential stuffing » : les experts ont beau répéter aux utilisateurs que les mots de passe sont comme des sous-vêtements, ils se changent régulièrement et ne se prêtent pas, le credential stuffing fonctionne souvent. Cette méthode consiste à recourir à des paires d'identifiants et mots de passe qui ont déjà fuité depuis d’autres services en ligne en partant du principe qu'ils peuvent avoir été utilisés sur plusieurs services digitaux... et souvent cela fonctionne.

Depuis ces révélations publiques l’entreprise fait tout son possible pour revoir sa conformité et sa sécurité, mais les conséquences de cette mauvaise presse se font déjà sentir. Des sociétés (Google, Space X, etc.), des gouvernements et des administrations du monde entier incitent publiquement à se détourner des services de l’entreprise, la valeur de son action a dégringolé de 42 dollars (US) entre le 23 mars et le 7 avril dernier, et l’un de ses actionnaires a même entamé une action collective contre la société pour avoir « surestimé » sa conformité, notamment concernant le chiffrement de bout en bout.

Si cette situation n’était pas fatale pour la société dans les mois qui viennent, ces déboires font déjà aujourd’hui le jeu de ses concurrents. En France, Zoom comptait notamment Deezer, Havas ou encore Sanofi comme clients et étendait son terrain de jeu à plusieurs autres sociétés du CAC40. Sociétés qui, du fait de ces récents manquements, revoient pour certaines contrats et négociations. Si certains défauts de sécurité sont communs à nombre d’entreprises, d’autres sont des manquements flagrants et délibérés à la réglementation ou aux engagements contractuels.

En France, mentir sur les qualités d’un service (chiffrement de bout en bout) peut ainsi intéresser la DGCCRF avant même que la CNIL ne s’en mêle.

 

Sécuriser sa croissance : repenser sa conformité comme moyen de performance

Beaucoup font le constat d’un monde parfois inutilement complexe dans lequel s’ajoutent à la surabondance des normes réglementaires leur complexité et leur rigidité. Il n’est pas rare de voir ainsi des entrepreneurs se détourner du respect de normes pourtant impératives au nom de leur inadaptation supposée et du faible risque d’être sanctionnés en comparaison du coût qu’entraînerait une mise en conformité. Mais ce calcul risque/avantage est-il si fiable dans le temps ?

L’absence de conformité ferme des portes

Les quelques illustrations ci-dessus montrent les effets de ce mauvais calcul pour une entreprise. À l’impact financier, qui suit toujours la publicité des pratiques illégales (perte de clientèles, perte de confiance des actionnaires, etc...), s’ajouteront les coûts d’une mise en conformité intervenant dans l’urgence et les éventuelles sanctions administratives.

Comme nous l’avons rappelé, les sociétés se permettent de moins en moins de travailler avec des prestataires qui ne seraient pas conformes au RGPD et qui feraient porter sur elles le risque d’une condamnation lourde ou d’un préjudice d’image.

D’une part, l’absence de conformité ferme des marchés, quand la réponse à une quantité croissante d’appels d’offres privés comme publics ne nécessite plus seulement une conformité de façade, mais une véritable maturité sur le sujet, notamment en matière de protection des données. En 2018 – 2019, la question était : êtes-vous conforme ? En 2020, elle est : prouvez-nous que vous êtes conforme / peut-on en discuter avec votre DPO ?

D’autre part, une non-conformité pourra bloquer les projets de cession future de son entreprise lors des opérations de due diligence préalables, ou faire baisser considérablement le prix de cession. En effet, même si le fait est souvent (volontairement) ignoré, une base de clients constituée au mépris de la réglementation applicable (pas d’information suffisante préalable, etc.) rend de facto cette base « hors commerce » et donc dénuée de toute valeur marchande pour la Chambre commerciale de la Cour de cassation[1]. Dès lors, certaines start-up dont les millions d’utilisateurs servent à la valoriser, risquent de se retrouver dans une citation compliquée lors de cessions futures si cette question n’a pas été anticipée… et réglée.

La conformité offre des opportunités

Surtout, à côté de la préservation de valeur, la conformité au RGPD est l’occasion pour chaque entreprise d’améliorer sa performance à long terme. Le RGPD en l’occurrence invite ainsi les entreprises à des mesures de « bon sens » :

  • Renforcer la confiance de ses salariés, de ses clients, et de ses actionnaires en démontrant une culture de la responsabilité soucieuse de l’intérêt collectif. C’est un élément de crédibilité qui peut renforcer une réputation ;
  • Faire le tri pour éliminer les données obsolètes ou fausses ;
  • Ne stocker que les données nécessaires, éliminant ainsi une immobilisation de ressources humaines ou techniques non-nécessaires ;
  • Vérifier si leurs solutions logicielles sont à jour et présentent des garanties suffisantes;
  • N’adresser leurs campagnes marketing et leurs informations qu’aux bonnes personnes ;
  • Cartographier leurs traitements de données et, par conséquent, identifier leurs actifs parfois les plus sensibles ;
  • Prendre du recul pour adapter leurs mesures de sécurité à leurs moyens et à leurs besoins
  • Sécuriser leur système d’information, en respectant une hygiène informatique que beaucoup de responsables de la sécurité de l’information réclament à cor et à cri depuis des années.

Il est préférable de garder ces éléments à l’esprit et de les mettre en œuvre afin d’éviter de passer, en un trait de temps, d’une ascension fulgurante à une brusque déconfiture.


[1] Cour de cassation, civile, Chambre commerciale, 25 juin 2013, 12-17.037.

 

FRCO

François Coupez, Avocat à la cour, Associé, spécialiste en droit des nouvelles technologies

Parmi ses domaines d’expertises : droit de l’innovation, cybersécurité, droit de l’internet, contrats informatiques, protection des données personnelles, propriété intellectuelle.

Me François Coupez est avocat à la Cour, associé en charge de la practice Droit du numérique/Data. Titulaire des certifications « nouvelles technologies » délivré par le CNB et DPO (agrément CNIL), François met sa double compétence en droit et technologies de l’information au service de nombreuses grandes entreprises depuis près de 20 ans afin de les conseiller et de les assister face à leurs contraintes réglementaires.
Vice-président du club R2GS, il est également Senior Advisor du Cybercercle et membre de l’ANJB, de Cyberlex, ou encore de l’AFCDP. Il est l’auteur de nombreux articles de doctrine, conférencier et formateur (en Master II à Paris II, au CELSA, à Dauphine, au CNAM, etc.).

JOPI

Jocelyn Pitet, Avocat à la Cour

Parmi ses domaines d’expertises : données personnelles, technologies de l’information, droit commercial et e-commerce.

Jocelyn est avocat au Barreau de Paris depuis 2018. Avant de rejoindre ATIPIC Avocat / implid Legal, Jocelyn a exercé en entreprise et en cabinet d’avocats, accompagnant tout type de sociétés, des PME aux groupes internationaux, dans des environnements à forte dominante bancaire et dans le secteur de la défense et du renseignement. Il a notamment été juriste au sein d'un acteur français de pointe en matière de cybersécurité où il était notamment en charge de la conformité RGPD (conformité des produits, formations des opérationnels, tenue du registre, etc.).