Assurer vos Risques relatif aux données clients.

La nouvelle obligation de notifier les violations de données a la CNIL et aux intéressés (décret du 24 Aout 2011) vient renforcer les obligations des entreprises Francaises, détenant des données personnelles et/ou bancaires.

 

Cette obligation va voir le jour a partir du 25 mai 2018.

L'amende prévu pourra atteindre 4% du chiffre d'affaires.

 

Extrait CNIL :

Pour qu'il y ait violation, 3 conditions doivent ętre réunies :
- Vous avez mis en śuvre un traitement de données personnelles.
- Ces données ont fait l’objet d'une violation (destruction, perte, altération, divulgation ou un accčs non autorisé a des données personnelles, de maničre accidentelle ou illicite).
- Cette violation est intervenue dans le cadre de votre activité de fourniture de services de communications électroniques(par exemple, lors de la fourniture de votre service de téléphonie ou d'acces d'internet).

La notification doit ętre transmise ŕ la CNIL dans les 24h de la constatation de la violation.

Des réception, la CNIL va instruire la notification. La procédure relative ŕ la violation notifiée pourra ętre clôturée si la CNIL constate que :

La violation ne porte pas atteinte aux données personnelles ou ŕ la vie privée des personnes (pour vous permettre d'auto-évaluer le niveau de gravité de la violation, la CNIL met ŕ votre disposition un outil d'analyse).
Vous avez correctement informé les personnes concernées.
Vous avez mis en place, préalablement ŕ la violation, des mesures techniques de protection appropriées.
La CNIL pourra vous imposer d'informer les personnes concernées si elle constate que :

Vous ne les avez pas correctement informées.
Les mesures techniques de protection que vous avez mises en place préalablement ŕ la violation ne sont pas appropriées.
La CNIL dispose d'un délai de 2 mois pour vérifier le caractčre approprié ou non de ces mesures techniques. En l'absence de retour de la CNIL dans ce délai, vous devrez considérer que les mesures ne sont pas appropriées et vous devrez immédiatement informer les personnes de la violation.

Garantie en cas d’atteintes à la vie privée et des atteintes aux données informatiques.
Prise en charge des conséquences pécuniaires de la Responsabilité civile incombant à l’assuré suite à une réclamation introduite à son encontre :

par une personne physique victime d’atteinte à la vie privée (parce que les données personnelles stockées ou utilisées par le système informatique assuré ont été volées, altérées ou détruites par une cyber-attaque)

ou par une personne contractuellement liée avec l’assuré, les données informatiques du client pouvant être de toute nature (données confidentielles, données sensibles, données de la Défense nationale notamment).

Cette garantie comprend également les Frais d’intervention qu’il faut engager pour :

Déterminer la cause et l’étendue de l’atteinte à la vie privée ou l’atteinte aux données informatiques

Déterminer comment il est possible d’en atténuer les conséquences

Identifier et préserver les données encore présentes dans le système informatique de l’assuré

Conseiller l’assuré sur son obligation légale et règlementaire de notifier toute personne physique victime elle-même, son client et le régulateur

Notifier ces personnes (prise en charge des frais de notification)

Identifier l’étendue des obligations d’indemnisation se trouvant dans tout contrat écrit et signé entre l’assuré et un prestataire de services tiers (dans le cas où l’assuré a externalisé son système d’information)

Fournir aux personnes victimes et aux clients de nouvelles références de comptes, de services de contrôle des crédits, de conseils liés au sinistre.

. Garantie en cas d’atteinte frauduleuse au réseau.
Prise en charge des conséquences pécuniaires de la Responsabilité civile incombant à l’assuré lorsqu’un acte, erreur ou omission commis par lui ou ses employés a contribué à une cyber-attaque.

 

Garantie en cas d’atteinte par publication/diffusion.
Prise en charge des conséquences pécuniaires de la Responsabilité civile incombant à l’assuré lorsqu’il publie ou diffuse des données numériques qui vont porter atteinte à autrui.

 

Garantie des sanctions pécuniaires
Prise en charge des frais de défense et de la sanction pécuniaire administrative qu’un régulateur peut infliger à l’assuré en cas d’atteinte à la vie privée ou aux données informatiques.

Garantie des réclamations des prestataires de services de paiement électronique.
Si vous proposez un paiement en ligne, prise en charge des pénalités contractuelles que les prestataires de services de paiement électronique pourraient lui réclamer en cas de violation non intentionnelle des Normes de Sécurité des données PCI auxquelles l’assuré doit se conformer (normes protégeant les cartes bancaires)..

 

Garantie des pertes subies par l'assuré,

Perte d’exploitation.
Prise en charge des pertes d’exploitation (frais supplémentaires le cas échéant) subies par la société souscriptrice directement consécutives à une intrusion non autorisée dans les conditions habituelles de cette garantie, si l’indisponibilité du système informatique de l’assuré est supérieure à 12 heures, et pour une durée maximale de 180 jours.

Cette garantie comprend aussi les frais d’expert pour la restauration directement consécutive, à savoir :
- les frais nécessaires pour restaurer le système informatique de l’assuré dans le même état de fonctionnalité que celui existant avant l’événement
- les frais nécessaires pour restaurer, récupérer ou réinstaller les données informatiques ou les programmes informatiques.

 

Garantie des frais de consultants.
Mise à disposition de l’assuré, et prise en charge financière d’experts professionnels permettant à l’assuré de gérer au mieux de ses intérêts les suites d’une cyber attaque.
Il s’agit exclusivement des frais :

- d’un consultant en communication de crise

- d’un consultant chargé de collecter et d’établir les pertes subies par l’assué

Garantie protection juridique et perte pécuniaire.
Ces garanties sont proposées par PROTEXIA. Elles sont optionnelles mais recommandées. Elles ne s’appliquent que pour les assurés français.ise en charge des conséquences pécuniaires de la Responsabilité civile incombant à l’assuré lorsqu’il publie ou diffuse des données numériques qui vont porter atteinte à autrui.

En cas de recours, si nécessaire à l’encontre d’un tiers qui aurait abusivement dénoncé l’assuré auprès de la CNIL.

En cas de dénigrement, diffamation, atteinte à la marque de l’assuré via Internet.

En cas de contrôle de la CNIL : prise en charge des honoraires d’un cabinet d’avocats spécialisés lorsque l’assuré reçoit une notification de contrôle de la CNIL (Autorité administrative indépendante) visant les systèmes informatiques d’information de l’entreprise assurée, même en l’absence de cyber-attaque

En cas d’E-réputation : prise en charge des frais d’un expert spécialiste sur Internet pour nettoyer les données litigieuses portant atteinte à l’ e-réputation de l’assuré