Les deux violations de données successives qui ont touché Emoa Mutuelle du Var réveillent le débat sur l’importance à accorder à la protection des données personnelles, en particulier pour les entreprises amenées à traiter des données sensibles ou présentant un risque élevé pour les personnes concernées (RIB, IBAN, BIC, scans de passeports, numéro de sécurité sociale).
En effet, la réitération d’une violation de données, malgré l’obligation de mettre en œuvre les moyens appropriés pour éviter qu’elle ne se reproduise, incite à douter de la suffisance des moyens mis en œuvre et interroge sur la volonté de consacrer des dotations suffisantes à la sécurité des systèmes d’information et à la protection des données personnelles en mettant en place une réelle gouvernance s’appuyant sur le RSSI et le DPO.
Toutefois, sans connaître le résultat des investigations qui relèvent des autorités de contrôle, il serait prématuré de pointer du doigt les défaillances d’une structure qui se défend en arguant les moyens limités des PME.
Ainsi, face à l’ampleur de la cybercriminalité, il n’est pas interdit de s’interroger sur la nécessité d’une réponse systémique, dépassant la seule responsabilisation des acteurs individuels. En effet, les moyens humains et financiers dont dispose une structure de petite taille ne sont pas nécessairement corrélés aux risques élevés que présentent les données personnelles qu’elle gère pour le compte des personnes concernées. Aussi, l’arbitrage nécessaire entre les « coûts de mises en œuvre » et la gravité du risque peut-il réellement se montrer à la hauteur des enjeux qui pèsent sur nos données personnelles ?
Ne serait-il par urgent d’étendre les référentiels et le financement du programme HOP’EN à d’autres secteurs d’activité à risque pour les personnes concernées comme les mutuelles.
