Regard d'experts - Décembre 2019 -

Les enjeux de la protection des données personnelles

Les sociétés ont toujours eu besoin de collecter et conserver des données sur leurs clients à des fins commerciales et d’optimisations de leurs offres. Cependant, la digitalisation permet aux entreprises d’avoir un accès facilité aux données, et d’en collecter de plus en plus pour offrir des services personnalisés et accroître leur performance.

Désormais, l’utilisation de statistiques et l’analyse des données sont devenues un avantage concurrentiel indispensable chez les acteurs économiques. Les utilisateurs, pour leur part, partagent de plus en plus de données, souvent de manière inconsciente.

Cette note dresse un état des lieux des différents enjeux liés à la protection des données personnelles. Elle a été rédigée par l’équipe d’analyse ESG d’OFI Asset Management à la suite de l’émergence, ces derniers mois, de nouvelles problématiques liées à la collecte, au traitement et à la sécurité des données personnelles :

  • Promulgation de nouvelles réglementations pour encadrer la protection des données personnelles, en Europe avec le RGPD, mais aussi dans le reste du monde ;
  • Accroissement du nombre et de l’ampleur des amendes liées aux fuites des données personnelles pour les sociétés ;
  • Augmentation colossale du nombre de cyber-attaques et ainsi de leurs coûts rend le cyber-risque un enjeu de plus en plus matériel pour les entreprises ;
  • Multiplication de controverses sur l’utilisation abusive, par les sociétés et les États, de données personnelles - voire sensibles - sans consentement.

Fort de ces constats, mais aussi persuadée de la matérialité et de l’importance de ces enjeux extra-financiers dans notre économie de demain, l’équipe d’analyse ESG a amélioré son appréhension de ces problématiques dans son analyse. Il est ainsi primordial qu’elles retiennent l’attention des investisseurs car elles démontrent l’émergence de nouveaux risques pour les sociétés face à la prise de conscience de la société civile et des régulateurs.

Sommaire

Tendance et évolution du marché des données

Le volume de données échangées n’a cessé de croître depuis l’avènement d’internet et du World Wide Web. Cette tendance va continuer d’accélérer notamment avec l’optimisation de la vitesse des transferts de données et l’arrivée imminente de la 5G, cette nouvelle génération jusqu’à 10 fois plus rapide que la 4G.

L’intérêt croissant pour les objets connectés (Internet of Things) est une autre explication à cette collecte massive des données personnelles.

Le volume de données échangées au niveau mondial est en plein essor

Le volume de données échangées au niveau mondial est en plein essor
Source : Société Générale, Cyber risk, 2019 • www.internetlivestats.com

La nature des données personnelles échangées a aussi évolué avec l’utilisation des réseaux sociaux permettant de tracer des profils très précis des individus, y compris leurs goûts et leurs orientations politiques. Ainsi, les entreprises et administrations ne collectent pas seulement des données à caractère personnel mais aussi à caractère sensible.

QU’EST-CE QU’UNE DONNÉE PERSONNELLE ?
Si aujourd’hui les données personnelles sont communément associées aux données partagées volontairement sur les réseaux sociaux, au niveau européen le caractère « personnel » d’une donnée se définit en fonction de la capacité d’un tiers à établir un lien direct ou indirect entre des informations et une personne physique (identité, géolocalisation, photos/vidéos, adresse IP, cookies, mail, mot de passe, données bancaires).
QU’EST-CE QU’UNE DONNÉE SENSIBLE ?
Une donnée sensible est une donnée sur la base de laquelle une personne est susceptible d’être discriminée. On parle ainsi en droit européen de données relevant de l’origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, de l’appartenance syndicale ainsi que des données relatives à la santé et à la vie sexuelle.

Les données protégées par le RGPD

Les données personnelles protégées par le RGPD
Les données sensibles protégées par le RGPD
Source : OFI AM

Ces changements d’échelle et de nature posent la question de l’utilisation des données par les entreprises. Cette question est d’autant plus importante qu’il y a une certaine monopolisation de la collecte de la donnée personnelle par les GAFAM (acronyme désignant les géants américains des technologies numériques : Google, Apple, Facebook, Amazon et Microsoft).

La protection des données avec le RGPD

QU’EST-CE QUE LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD) ?

C’est dans ce contexte que l’Union européenne a légiféré et que depuis le 25 mai 2018, les sociétés doivent être conformes au Règlement Général sur la Protection des Données (RGPD). Ce règlement a été conçu autour de trois objectifs : renforcer les droits des personnes, responsabiliser les acteurs traitant des données et renforcer le pouvoir du régulateur.

Les dispositions-clés à retenir sont les suivantes :

  • Les utilisateurs ont le droit à l’effacement (ou « droit à l’oubli ») et peuvent donc demander à l’entreprise d’effacer les données à caractère personnel les concernant si elle n’en a plus l’usage. Ainsi, les entreprises doivent constituer un « registre des activités de traitement » détaillant toutes les données personnelles traitées par les unités de la société. Elles doivent préciser aussi si celles-ci sont responsables ou sous-traitantes des données personnelles. Cela implique un coût de mise en conformité pour les entreprises qui doivent mettre à jour ce registre régulièrement ;
  • Les utilisateurs ont le droit à la portabilité des données. Ils peuvent ainsi demander à récupérer les données qui les concernent et/ou transférer leurs données personnelles dans un autre organisme ;
  • Les entreprises doivent demander un consentement explicite pour utiliser les données personnelles de leurs clients : on parle d’un consentement « éclairé » où la personne concernée connaît l’identité du responsable du traitement mais aussi la finalité de celui-ci. La personne concernée doit avoir une liberté de choix et doit être en mesure de refuser ou de retirer son consentement sans subir de préjudice ;
  • Les entreprises ont 72 heures pour notifier les fuites de données à leurs consommateurs et au régulateur (la CNIL, en France : Commission Nationale de l’Informatique et des Libertés) ;
  • Les organismes publics et les entreprises privées de plus de 250 salariés doivent nommer un délégué à la protection des données.

Ainsi, le RGPD force les entreprises, les administrations et les utilisateurs à se questionner sur la manière avec laquelle la collecte des données à caractère personnel est opérée, mais aussi le traitement suivi. Les entreprises et les administrations doivent, par ailleurs, limiter la collecte et la conservation des données de leurs consommateurs aux volumes et catégories nécessaires à l’exercice de leurs activités.

QUI LE RGPD CONCERNE-T-IL ?
Le RGPD a une applicabilité extraterritoriale, c’est-à-dire que cette réglementation s’applique aux sociétés européennes, mais aussi aux sociétés étrangères utilisant les données personnelles des ressortissants européens.
QUELLES-SONT LES SANCTIONS POSSIBLES ?
Auparavant la Commission Nationale de l’Informatique et des Libertés (CNIL) sanctionnait les sociétés d’une amende maximale de 150 000 €. Aujourd’hui, les entreprises non conformes au RGPD s’exposent à une sanction financière pouvant aller jusqu’à 20 M€ ou 4 % de leur chiffre d’affaires annuel mondial.

Les sociétés avaient jusqu’au 25 mai 2018 pour demander le consentement à leurs utilisateurs sur l’utilisation des données personnelles. La bonne interprétation de la réglementation aurait été de proposer un « opt-in » (obtenir l’accord du destinataire de la publicité : « refus par défaut »). Cependant, beaucoup de sociétés ont préféré utiliser le « opt-out » (lorsque le destinataire de la publicité ne s’oppose pas : « consentement en l’absence de réponse »). Le « opt-out » permet ainsi de conserver plus facilement les données personnelles des utilisateurs. À titre d’exemple, la société ASOS (vente de détail de vêtements sur internet) a choisi la solution du « opt-in » mais cela a eu un impact sur la conversion de son trafic en ligne en acte d’achat. En effet, en donnant le choix de manière explicite à ses utilisateurs de partager ou non leurs données personnelles, ASOS a perdu un grand nombre de données qu’elle utilisait pour cibler de manière personnalisée ses utilisateurs.

Le 25 mai 2018, certaines sociétés ont préféré supprimer les données personnelles de leurs clients plutôt que de se mettre en conformité. C’est le cas du publicitaire britannique JD Wetherspoon qui a effacé les emails de ses consommateurs sur l’intégralité de la base de données (lire ici). De plus, de nombreux sites de journaux américains tels que « New York Daily News » et « Chicago Tribune » ont été rendus inaccessibles pour les lecteurs européens en raison de l’entrée en vigueur du RGPD.

COMMENT LA RÉGLEMENTATION AFFECTE-T-ELLE LES ENTREPRISES ?

Des coûts supplémentaires en conformité

Les coûts de conformité mentionnés par les entreprises proviennent de l’augmentation de l’effectif de la société, du conseil juridique et des consultants externes, ainsi que des coûts récurrents pour les nouveaux logiciels. Pour les TPE (très petites entreprises) et les PME (petites et moyennes entreprises) nécessitant un accompagnement juridique, organisationnel et technique, le coût de conformité serait entre 10 000 € et 20 000 € contre plusieurs millions d’euros pour une multinationale.

À noter que la bonne mise en conformité au RGPD des sociétés ne les protègent pas pour autant des cyber-attaques et d’encourir une amende si un vol de données personnelles n’est pas notifié sous 72 heures. Il est donc primordial de mettre en place des systèmes d’informations robustes avec des processus de protection et de gestion de crise.

UN IMPACT POTENTIEL SUR LE CHIFFRE D’AFFAIRES
Dans le secteur éditorial, l’entreprise écossaise Johnston Press a annoncé une baisse de 9 % de son chiffre d’affaires pour la première partie de l’année 2018, liée à l’impact du RGPD sur ses revenus publicitaires en ligne. En effet, le RGPD peut empêcher le ciblage publicitaire si les utilisateurs choisissent le « opt-out ».

RETOUR D’UNE ANNÉE DE RGPD

Un premier bilan pour la commission européenne...

Un peu plus d’une année après la mise en place du Règlement Général de la Protection des Données, la Commission européenne a publié son premier bilan avec au total 144 376 plaintes et questions enregistrées au sein des organismes de protection des pays membres de l’Union européenne. Dans le cadre de l’application du règlement au sein des pays de l’Union européenne, la Grèce, le Portugal et la Slovénie n’auraient toujours pas correctement intégré le règlement dans leurs législations nationales.

Les 12 premiers mois du RGPD ont fait office d’année de transition pour les régulateurs nationaux. Ils ont tout d’abord accompagné et sensibilisé les entreprises pour se mettre en conformité avec le RGPD. Au cours de l’année, et avec la collecte des premières plaintes des utilisateurs, ils ont renforcé leurs contrôles, ouvert des enquêtes et déposé les premières sanctions. Si après une année d’entrée en application du RGPD, les différentes autorités ont fait preuve de tolérance, les sanctions devraient augmenter en nombre et en ampleur. Věra Jourová, ex-Commissaire européenne à la Justice, aux consommateurs et à l’Égalité des genres appelait les organismes à davantage de fermeté.

… Et pour l’agence de réglementation française

Au cours de l’année, la CNIL explique avoir reçu 11 077 plaintes, soit une augmentation de 32,5 % par rapport à 2017. Au total, 35,7 % des plaintes concernent la diffusion de données personnelles sur internet tout comme le nom, prénom, coordonnées, photos… Dans son bilan des activités de l’année 2018, c’est au total 310 contrôles, dont 48 mises en demeure et 11 sanctions financières que le régulateur a pris.

Dans sa politique de sensibilisation des enjeux de protection des données, la CNIL constate une prise de conscience inédite chez les ETI (entreprises de taille intermédiaire) et les GE (grandes entreprises), contrairement aux TPE (très petites entreprises) et PME (petites et moyennes entreprises), nécessitant un probable accompagnement progressif.

Pour 2019, la CNIL a pour objectif affiché de faire preuve de plus de fermeté. L’autorité veut continuer la pédagogie auprès des entreprises mais aussi son action de régulation en augmentant les contrôles et éventuellement les sanctions. Ses priorités de contrôle, en 2019, se déclinent autour de trois axes :

  • Le respect du droit des personnes, comme le droit de rectification, d’opposition, d’oubli et de déférencement ;
  • Le contrôle des sous-traitants ;
  • La protection des droits des mineurs sur internet, et notamment sur les réseaux sociaux.
Quelles sont les principales sanctions prononcées ?

Pour rappel, les entreprises non-conformes au RGPD s’exposent à une sanction financière pouvant s’élever à 20 M€ ou à hauteur de 4 % de leur chiffre d’affaires annuel mondial.

L’agence de régulation française a mené une enquête sur la société Google en 2018 après avoir reçu une plainte de l’organisation non-gouvernementale « None of your Business ». Celle-ci a annoncé le 21 janvier 2019 que la société Google avait manqué à ses obligations de transparence d’informations vis-à-vis du traitement des données, et qu’elle n’avait pas suffisamment recueilli le consentement des utilisateurs dans le cadre de l’exploitation de leurs données à des fins publicitaires. De ce fait, la société Google a été condamnée à payer une amende de 50 M€, qui serait l’équivalent de 0,05 % de son chiffre d’affaires annuel mondial.

Au Royaume-Uni, l’« Information Commissioner’s Office » (ICO), l’équivalent de la CNIL, a pour le moment infligé deux amendes records, preuve d’une application stricte du RGPD, notamment sur la nécessité des entreprises au Royaume-Uni de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

  • La compagnie aérienne British Airways a annoncé le 8 juillet 2019 devoir verser une amende de 204 M€ à l’ICO, après le vol, en 2018, des données financières de ses utilisateurs. La cyber-attaque début septembre 2018 avait effectivement affecté 244 000 cartes de paiement (contre une estimation de 380 000 en septembre). Cependant, British Airways a annoncé que 185 000 utilisateurs supplémentaires s’étaient fait dérober leurs données financières entre le 21 avril et le 28 juillet 2018. Le montant de l’amende représente 1,5 % du chiffre d’affaires annuel de British Airways en 2017.
  • L’ICO a annoncé le 9 juillet 2019 l’intention de sanctionner Marriott International d’une amende de 110 M€ soit 0,7 % de son chiffre d’affaires annuel mondial. Cette amende fait suite à un vol de données de plus de 500 millions de clients de sa filiale Starwood Hotels et dont plus de la moitié concernent des numéros de passeports. D’après l’enquête de l’ICO, Marriott International n’a pas pris les mesures suffisantes pour sécuriser les systèmes lors du rachat de Starwood en 2016, alors que la faille de sécurité existait depuis 2014.

QUELLES RÉACTIONS DE LA SOCIÉTÉ CIVILE ?

La sanction de la Commission Nationale de l’Informatique et des Libertés contre Google est le fruit d’une action de groupe, peu après la mise en place du RGPD, portée par l’ONG autrichienne « None of your Business » et l’association à but non lucratif « La Quadrature du Net ». La CNIL a notamment reçu des actions de groupe contre Google, Apple, Facebook, Amazon, LinkedIn et Criteo. Ainsi, nous pouvons constater que les ONG ont fait office de lanceurs d’alertes au cours de cette première année d’application contre les violations du RGPD.

L’action de groupe en matière de données personnelles a été renforcée depuis la réforme de la loi informatique et libertés du 20 juin 2018. Les victimes, pour demander réparation, doivent s’adresser à un organisme à but non lucratif (comme La Quadrature du Net, ou Internet Society en France). L’organisme conduit ensuite l’ensemble des dossiers des personnes représentées devant la justice, et réclame des dommages et intérêts au nom des plaignants. Les entreprises risquent ainsi, en plus d’une sanction de l’autorité responsable du respect du RGPD, de devoir verser des dommages et intérêts. Le traitement des actions de groupe dans le cadre de la coopération entre les CNIL européennes a été érigée en priorité.

Un intérêt croissant des utilisateurs sur la sécurité et l’utilisation responsable de leurs données privées

Un intérêt croissant des utilisateurs sur la sécurité et l’utilisation responsable de leurs données privées
Source : Commission européenne, Special Eurobarometer 487a, Juin 2019

Par ailleurs, si près de 67 % des européens ont déjà entendu parler du RGPD, 47 % des utilisateurs français ne sont pas capables d’expliquer son fonctionnement d’après une étude de Ogury. Avec l’introduction du RGPD, nous pouvons noter un intérêt croissant des utilisateurs sur la sécurité et l’utilisation responsable de leurs données privées. Cependant, 33 % des français estiment toujours que la loi ne leur a pas permis de mieux comprendre la collecte, le stockage et l’utilisation de leurs données par les entreprises.
Une explication possible au manque de sensibilisation des consommateurs est la complexité des politiques de confidentialités des entreprises, décourageant la lecture et la compréhension de l’utilisation faite de leurs données.

Cyber-sécurité et vol des données personnelles

Face à une croissance exponentielle de la cyber-criminalité, les entreprises voient leur risque d’être attaquées augmenter considérablement et, par conséquent, cherchent des solutions pour prévenir, protéger et minimiser le coût des différentes attaques.

Le développement de la collecte et du stockage des données personnelles par les entreprises engendre un intérêt croissant de la part des pirates informatiques. D’après Mohammed Boumediane, Président de la société de sécurité informatique HTTPCS, l’achat d’une donnée personnelle (nom, prénom, adresse) par une entreprise coûte en moyenne 120 €. Cependant, le coût est moindre sur le « marché noir » selon G DATA Software : 75 € le million d’emails (ou 0,000075 $ l’adresse), 20 € les 40 000 comptes emails, 50 € la Carte Bleue française volée ou le compte PayPal, 70 € l’identité complète. Il faut savoir que sur ce marché parallèle, les données personnelles volées peuvent être utilisées à des fins d’usurpation d’identité. Le vol des données personnelles collectées est un risque majeur pour les entreprises, qui risquent d’être tenues responsables.
D’autre part, un vol peut nuire à la réputation d’une entreprise, à son chiffre d’affaires ou faire l’objet d’une amende.

QUELLES SONT LES CYBER-ATTAQUES LES PLUS RÉPANDUES EN EUROPE ?

D’après l’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), il existe quatre principales catégories de cyber-attaques en Europe en 2018.

Types de cyber-attaques

Logiciel Malveillant

Méthodes opératoires de l’attaque

Introduction d’un logiciel malveillant dans un système informatique afin de nuire au fonctionnement du système, d’en prendre contrôle ou d’y voler des données.

Impacts utilisateur/entreprise

Les plus connues sont les logiciels rançonneurs (ransomwares) qui restreignent l’accès aux systèmes de données par cryptage en échange d’une rançon en cryptomonnaie. Cette inactivité des systèmes d’informations peut engendrer une perte du chiffre d’affaires. En général, les logiciels malveillants infiltrent un système informatique sans que l’utilisateur ne s’en aperçoive et peut accéder à des données pouvant nuire à la notoriété et à la crédibilité de l’entreprise auprès de ses utilisateurs.

Types de cyber-attaques

Défacement

Méthodes opératoires de l’attaque

Altération visuelle de l’apparence d’un site internet et suspension de ses fonctions. L’attaquant veut montrer que les administrateurs ont perdu le contrôle.

Impacts utilisateur/entreprise

Le site internet étant non fonctionnel, il est mis hors ligne. Par conséquent, le site est inaccessible aux visiteurs, l’image de l’organisation peut être endommagée puisqu’il ne parait pas sécurisé et l’inactivité peut entrainer des pertes de revenu et de productivité.

Types de cyber-attaques

Hameçonnage

Méthodes opératoires de l’attaque

Technique frauduleuse destinée à récupérer des informations personnelles d’un utilisateur en usurpant l’identité d’un tiers de confiance. Par le biais d’emails électroniques, sms ou par des conversations téléphoniques.

Impacts utilisateur/entreprise

Pour l’utilisateur, ses données personnelles et/ou sensibles peuvent êtres compromises (données bancaires, code d’accès...). L’usurpation d’identité d’un tiers de confiance peut nuire à sa réputation et à la confiance de ses utilisateurs.

Types de cyber-attaques

Attaque par déni de service (DDoS/DoS)

Méthodes opératoires de l’attaque

Attaque visant à rendre inaccessible un serveur en le submergeant de requêtes. Peut-être utilisée à des fins de diversion pendant un vol de données.

Impacts utilisateur/entreprise

Le site internet étant inactif, cela peut entrainer des pertes directes de revenu et/ou de productivité. Rendant l’accès difficile aux utilisateurs, cela peut laisser à présager que l’attaquant a pris contrôle du serveur et peut ainsi y dérober des données.

L’IMPACT DIRECT SUR LES ENTREPRISES DES CYBER-ATTAQUES

D’après le rapport 2019 de ThreatMetrix sur la cyber-criminalité, ont été constatées dans le monde en 2018 environ 600 millions de cyber-attaques initiées par l’Homme et 5,5 milliards de cyber-attaques initiées par des robots (bots).

En 2017, deux cyber-attaques ont particulièrement touché les entreprises européennes :

  • En mai 2017, le logiciel malveillant WannaCry a infecté 300 000 ordinateurs dans 150 pays à l’aide d’un logiciel de rançon. Le virus cryptait les données et par conséquent en bloquait l’accès sur les systèmes d’exploitation Microsoft 7, sa mise à jour n’ayant pas été réalisée, contre une rançon de 300 dollars ou 600 dollars par ordinateur en utilisant le Bitcoin, une cryptomonnaie intraçable. De nombreuses organisations ont été touchées par WannaCry, du service de santé britannique (NHS) à la chaîne de montage de Renault.
  • À partir de juin 2017, le virus de destruction NotPetya a touché plusieurs entreprises notamment en Ukraine, mais aussi Nivea, Mars, Merck ou encore la centrale nucléaire Tchernobyl. Le logiciel bloquait l’accès aux systèmes d’exploitation utilisant Windows 10 par cryptage en échange d’une rançon de 300 dollars par ordinateur.

CAPTURE DE L’ÉCRAN QUI S’AFFICHAIT SUR LES ORDINATEURS INFECTÉS PAR LE VIRUS WANNACRY

écran infecté par le virus Wannacry

Le premier impact de ces cyber-attaques pour les entreprises est au niveau de leur cycle opérationnel. En juin 2015, RBS a dû interrompre 600 000 paiements en ligne de clients pour cause de cyber-attaque. Lors de l’attaque WannaCry, la chaîne de montage de Renault et ses sites de production ont dû être fermés pour limiter la propagation du virus. L’inactivité des systèmes a provoqué une perte de 300 M$ pour l’entreprise danoise Maersk après la fermeture de plusieurs de ses sites infectés.

L’augmentation de la collecte de données personnelles par les entreprises, que ce soit pour optimiser l’offre de service ou le parcours client lors du processus d’achat, a fait émerger un nouveau risque. En effet, les cyber-attaques se concentrent de plus en plus sur le vol des données personnelles des utilisateurs.

Equifax (une société américaine d’évaluation de la cote de crédit) s’est fait voler les données personnelles de 147 millions de clients de mai à juin 2017. Equifax a mis 6 semaines avant de notifier ses consommateurs. Son cours de bourse a chuté de 35 % les jours suivants et trois membres de son Comex, dont le Directeur Général, ont quitté le groupe. En 2019, pour clore l’ensemble des poursuites à son encontre, la société Equifax a trouvé un accord avec la Federal Trade Commission (FTC), le Consumer Financial Protection Bureau (CFPB) et la quasi-totalité des États américains (50) sur une amende record comprise entre 575 et 700 M$.

Le vol de données permet ensuite aux cyber-criminels de voler des identités complètes et de créer des comptes frauduleux. D’après le rapport 2017 de ThreatMetrix sur le cyber-crime, le nombre de tentatives de créations de comptes frauduleux était au nombre de 83 millions entre 2015 et 2017. Les paiements frauduleux ont ainsi augmenté de 100 % ces mêmes années. Les hackers peuvent en effet exploiter les informations volées pour utiliser un compte client d’un site internet de e-commerce.

QUELS SONT LES COÛTS DE CES ATTAQUES POUR LES ENTREPRISES ?

Le nombre de cyber-attaques connaît une croissance exponentielle qui entraîne des coûts internes et externes difficilement mesurables et de plus en plus lourds pour les entreprises.

DES COÛTS ÉLEVÉS
Selon les différentes sources étudiées, le coût des cyber-attaques pèserait entre 400 Mds$ et 3 000 Mds$ à l’économie mondiale en 2018. Les attaques de logiciels rançonneurs ont représenté un coût avoisinant les 9 Mds€ pour les entreprises, que ce soit dû aux paiements des rançons ou de l’inactivité des systèmes d’information. Le coût est donc colossal et va continuer d’augmenter dans les années à venir, d’autant plus que d’après l’ICO, seules 13 % des cyber-attaques sont déclarées.

Les coûts internes d’une entreprise sont liés à la lutte contre la cyber-criminalité au travers d’investissements en technologie informatique (IT). Selon une récente étude d’Accenture, les coûts les plus importants sont ceux liés à la détection et à la dissuasion des cyber-attaques représentant 36 % des dépenses internes des entreprises (Accenture Security, The cost of cyber-crime, 2019, p.22).

Les coûts externes d’une entreprise peuvent être liés aux conséquences des cyber-attaques sur les opérations et l’activité. En effet, ces attaques peuvent avoir de lourdes retombées en termes de réputation et d’impact financier pour les entreprises. En janvier 2019, Altran Technologies (société de conseil en ingénierie) a été victime d’un logiciel rançonneur cryptant les données de l’entreprise en échange de 300 bitcoins, soit près de 1 M€ pour recevoir la clé de déchiffrement des données. L’attaque a paralysé une partie des systèmes d’information européens de la société pendant plusieurs semaines et a provoqué un manque à gagner de 20 M€ sur son chiffre d’affaires.

Coûts potentiels d’une cyber-attaque pour les entreprises

Coûts potentiels d’une cyber-attaque pour les entreprises
Source : The Cost of Cybercrime, Accenture, 2019

Par ailleurs, les cyber-attaques peuvent affecter la valorisation d’une entreprise. En 2016, alors que Verizon Communications était sur le point de faire l’acquisition de Yahoo! pour 4,8 Mds$, une cyber-attaque datant de 2013 a été révélée concernant un vol de données personnelles de plus de 3 milliards d’utilisateurs. Ce vol de données personnelles est reconnu comme étant le plus important de l’histoire. Par conséquent, Verizon Communication a revu son offre d’achat et la valorisation de Yahoo! en 2017 a été réduite de 300 M$ (à titre d’information Yahoo! était valorisée à 125 Mds$ en 2000).

Répartition des coûts internes d’une cyber-attaque pour les entreprises en 2018

Détection
36%
Résolution
24%
Investigation
22%
Récupération
18%
Source : The Cost of Cybercrime, Accenture, 2019

QUELLES ADAPTATIONS ET QUELLES RÉSILIENCES POUR LES ENTREPRISES ?

D’après une étude du cabinet Deloitte en janvier 2018, à la suite de ces deux attaques de logiciels malveillants en 2017, 75 % des entreprises interrogées affirment avoir adopté de nouvelles mesures de sécurité. Saint-Gobain, par exemple, après avoir vu son chiffre d’affaires diminuer de 250 M€, et son résultat de 80 M€, à cause de la cyber-attaque « NotPetya », a défini un nouveau plan de cyber-défense. Celui-ci passe par l’identification et la détection des risques mais aussi par la mise en place de nouveaux outils de protection. Considérant qu’il n’existe pas de protection absolue, le groupe a surtout travaillé sur sa résilience. De plus, Saint-Gobain insiste sur l’éducation de ses salariés et une formation obligatoire a été mise en place, ainsi que des tests d’intrusion et des campagnes de « faux phishing ».

À noter, les différentes cyber-attaques que connaissent les sociétés ne sont pas obligatoirement de nature externe mais peuvent aussi être la conséquence d’une action commise en interne. D’après un communiqué de presse de Deloitte en 2018, 63 % des incidents de sécurité dans une entreprise sont liés à une action malintentionnée ou le résultat d’une erreur de la part d’un collaborateur. Ainsi, la sensibilisation et la formation des collaborateurs face aux risques cybers restent donc primordiales dans l’entreprise.

Les entreprises face aux enjeux de la cyber-sécurité en France

des sociétés françaises perçoivent la cyber-sécurité comme un enjeu prioritaire

des sociétés françaises se disent tout à fait capable de gérer une cyber-attaque

Source : Ipsos pour PwC en 2018

Plus l’entreprise est grande et plus le risque de cyber-attaque est reconnu et perçu comme important. Il reste cependant peu appréhendé par les TPE et PME françaises résultant d’un manque crucial de moyens mis en œuvre en termes de résilience. Ainsi, la cyber-sécurité n’est pas perçue comme une priorité pour les entreprises françaises et la perception du cyber-risque reste éloignée de la réalité de la menace. Tant que les entreprises n’ont pas été victimes d’une cyber-attaque, celles-ci sous-estiment le risque et mettent en place des mesures insuffisantes pour le prévenir.

QUELS SONT LES SECTEURS LES PLUS À RISQUE ?

Si le nombre de cyber-attaques n’a de cesse d’augmenter, certains secteurs sont plus ciblés que d’autres par les cyber-criminels et différents groupes de cyber-espionnage.

Classement des secteurs les plus ciblés en 2018

Finance/Assurance
20%
Transport/Logistique
13%
Services professionnels
12%
Détail
11%
Fabrication
10%
Média
8%
Gouvernement
8%
Santé
6%
Education
6%
Energie
6%
Source : IBM X-Force

Les secteurs les plus exposés sont ceux tournés vers le client final comme la finance et l’assurance, le transport et la logistique, les services professionnels et le commerce de détail d’après IBM X-Force Threat Intelligence Index 2019.

De manière générale, ce sont surtout les banques et les entreprises américaines les plus ciblées par des cyber-attaques. C’est en effet aux États-Unis que se trouvent les plus larges centres de données et où le coût de celles-ci est le plus élevé.

Coût moyen par donnée volée par secteur en 2019, en dollars

Coût moyen par donnée volée par secteur en 2019
Source : IBM, Ponenom Institute, Cost of a Data Breach Report, 2019

Les secteurs de la santé, de la finance et des technologies ont le coût moyen par donnée volée le plus élevé. En effet, ces secteurs traitent des données possédant une valeur élevée du fait de leur nature. Pour les secteurs de la finance et de la santé, les données personnelles (données bancaires) et sensibles (traitements) ont un coût sur le « marché noir » d’internet très élevé. Pour les secteurs des technologies et pharmaceutiques, le coût élevé des données provient de leurs liens avec les projets de R&D des entreprises et plus particulièrement de leur propriété intellectuelle.

LE SECTEUR FINANCIER FIGURE PARMI LES SECTEURS LES PLUS CIBLÉS EN 2018
D’après le Fonds Monétaire International (FMI), ce sont plus particulièrement les banques qui sont le plus touchées (91 % des attaques mondiales), suivies par les assurances (7 % des attaques). Il reste une cible privilégiée en raison notamment de la sensibilité des données qu’il détient (numéros de carte bancaire, dossiers clients). Les données bancaires et personnelles des utilisateurs attirent tout particulièrement les cyber-criminels car elles sont très prisées et coûteuses sur le « marché noir » d’internet. L’accès au réseau SWIFT de messagerie financière est également ciblé par les attaquants et apparaît comme un dénominateur commun de nombreuses attaques recensées en 2018 à l’international. En effet, la numérisation accrue des activités et des systèmes d’information de plus en plus ouverts et mondialement interconnectés accroissent les menaces cyber du secteur.
Ce sont des attaques plus fréquentes qui contraignent les entreprises à renforcer les dépenses en sécurité afin de prévenir et de se protéger contre toute atteinte à la sécurité. En effet, d’après le FMI, les cyber-attaques à large magnitude pourraient impacter jusqu’à 50 % du revenu net global d’une banque. La lutte contre le risque cyber implique ainsi d’organiser sa prévention, sa gestion et la résolution des crises. C’est pourquoi, les initiatives et les actions menées par les régulateurs, les superviseurs et les banques reflètent la nécessité d’une coopération internationale plus large, rendue complexe par des enjeux de souveraineté et de sécurité nationale.

À noter que si le secteur du détail est sujet à de nombreuses cyber-attaques, son coût moyen par donnée volée est de 119 $ (106 €) alors qu’en moyenne, tout secteur compris, celui-ci s’élève à 150 $ (136 €). Ainsi, même si un secteur connaît une quantité importante de cyber-attaques, cela ne se reflètera pas forcément dans son coût par donnée volée. Par ailleurs, le secteur de la santé connaît le coût moyen par donnée volée le plus élevé (429 $), alors qu’il représente seulement 6 % des attaques en 2018. En effet, la recherche médicale est la cible de multiples groupes d’espionnage. Cela provient aussi du fait que la majeure partie des entreprises évaluée dans le secteur de la santé sont américaines et donc privée.

QUEL RÔLE ASSURENT LES CYBER-ASSURANCES POUR LES SOCIÉTÉS ?

D’après le dernier rapport du Club des Experts de la Sécurité de l’Information et du Numérique, 80 % des entreprises françaises ont constaté au moins une cyber-attaque en 2018. De plus, avec l’entrée en vigueur du RGPD et de son cadre réglementaire renforcé, il y a un début de prise de conscience des entreprises vis-à-vis du risque lié à la cyber-criminalité.

La cyber-assurance permet aux sociétés de s’inscrire dans une démarche de prévention et est une véritable solution face au cyber-risque pour les entreprises. L’entreprise peut réduire ses risques puisque l’assurance couvre les attaques externes et les erreurs commises en interne. Les cyber-assurances offrent une couverture aux entreprises en cas de pertes ou de vols de données, d’attaques provenant de virus ou de logiciels rançonneurs et d’atteinte à la réputation.

Le marché des cyber-assurances se développe à grande vitesse en raison de la croissance exponentielle du nombre de cyber-attaques. Ce marché était estimé à 2,9 Mds$ en 2018 et pourrait dépasser les 20 Mds$ en 2025 selon Allianz. Cependant, d’après l’étude d’Ipsos pour PwC en 2018, plus d’une entreprise française sur quatre ne connaît pas les offres de cyber-assurances. Ce nouveau marché en croissance reste ainsi peu développé pour le moment.

À ce jour, le secteur de la cyber-assurances n’a pas atteint sa maturité. En effet, dû au manque crucial de données exploitables sur le marché et à l’incertitude autour des coûts engendrés par la cyber-criminalité, il y a une réelle limitation dans la réalisation d’une tarification réaliste.

Libertés personnelles et protection de la vie privée : les entreprises face au défi de l’utilisation des données

LE RESPECT DE LA VIE PRIVÉE ET DE L’ANONYMAT

Le risque d’atteinte à la vie privée des consommateurs est plus important dans les entreprises dont le modèle économique « gratuit » repose sur la monétisation des données des utilisateurs (réseaux sociaux, applications mobiles, moteurs de recherche…). Ces entreprises sont peu nombreuses à offrir la possibilité à leurs utilisateurs d’effacer leurs anciennes données. Avec la mise en œuvre du RGPD, ces entreprises doivent se conformer à la réglementation européenne et intégrer la notion de « droit à l’oubli ».

En 2006, Netflix avait rendu publiques 100 millions de données d’évaluation anonymisées de films lors d’un concours pour améliorer son algorithme de recommandation. Des chercheurs avaient alors recoupé ces données avec d’autres notations de films non anonymes et consultables publiquement sur l’Internet Movie Database afin d’identifier les personnes en croisant les deux bases de données. Ils ont ainsi réussi à identifier 68 % des utilisateurs. Cet exemple illustre la complexité de l’enjeu de l’anonymat. En effet, l’identité ne se reflète plus seulement dans le nom et les coordonnées, mais aussi dans les données de comportement ou les caractéristiques individuelles. Pouvoir croiser de nombreuses bases de données, rend la protection de la vie privée de plus en plus difficile et rend floue la frontière entre la donnée personnelle et la donnée sensible.

Utilisation abusive des données personnelles par des tiers

L’utilisation des données personnelles par des services tiers est aussi un enjeu démocratique. Cambridge Analytica a avoué en mars 2018 avoir utilisé, sans consentement explicite, les données de 87 millions d’utilisateurs de Facebook pour faire du micro-profilage au profit de la campagne présidentielle de Donald Trump en 2016. La force de frappe de cette technologie a permis de biaiser la campagne présidentielle au profit d’un candidat sans que les citoyens soient conscients de la distorsion de l’information à laquelle ils avaient accès sur le réseau social. Cette utilisation abusive des données personnelles de millions d’utilisateurs a donc eu un impact sur le processus démocratique américain.

L’éthique dans l’utilisation des données personnelles
Le développement de l’utilisation des données personnelles pose aussi d’autres questions d’ordre éthique :

  • Certaines enseignes de détail, avec l’aide de Facebook, utilisent la reconnaissance faciale pour les aider à identifier les consommateurs ayant besoin d’aide et ou de conseil pour trouver des produits qui leur conviennent le mieux (The Times : « Facebook develops facial recognition cameras that feed shop staff their customers’ profile details » - 1er décembre 2017). L’anonymat des utilisateurs, ainsi que le droit à la vie privée, n’est pas garanti avec de telles pratiques ;
  • Se développent des cas de discrimination sur les prix : quand les entreprises utilisent les données personnelles de leurs consommateurs pour ajuster les prix proposés en fonction de leur potentielle aptitude à payer (Nesta report : « Me, My Data and I : the future of the personal data economy »). Cela pose un réel problème juridique car cette discrimination sur les prix peut se faire à l’aide de données sensibles comme l’appartenance ethnique ;
  • Des notations du comportement des utilisateurs émergent en Chine : Alibaba avec son application Sesame Credit, collecte un grand nombre de données personnelles sur ses utilisateurs et peut ainsi leur attribuer un score de solvabilité. La note est influencée par les pratiques financières de l’utilisateur (comme la capacité de payer ses factures à temps), mais aussi par ses habitudes d’achats (comme l’achat de produits chinois) ou ses relations amicales (si un ami tient des propos anti-gouvernementaux), ainsi que les interactions sur les réseaux sociaux (vanter la politique sociale du gouvernement chinois peut faire gagner des points, alors que faire des allusions à Tian An Men peut en faire perdre). La note comprise entre 350 et 950 points peut permettre de gagner des cadeaux, des facilitations de crédit pour des achats sur Alibaba, de louer une voiture sans laisser de caution ou encore de s’enregistrer plus rapidement à l’aéroport de Pékin. D’autres géants chinois comme Tencent ont développé des outils similaires. Cette utilisation généralisée du profilage peut être considérée comme une entrave à la liberté personnelle et à la liberté d’opinion.

L’UTILISATION ABUSIVE DES DONNÉES PERSONNELLES PAR LES ÉTATS

Le « Big Brother » est la collecte en masse de données par les États. Celle-ci est le plus souvent liée à des affaires pénales (vol, enlèvement…) mais elle change de nature et s’intensifie dans un contexte de lutte contre le terrorisme.
Le Cloud Act promulgué aux États-Unis le 23 mars 2018 renforce l’extraterritorialité juridique américaine. Le Clarifying Lawful Overseas Use of Data Act permet de faciliter l’obtention pour l’administration américaine de données personnelles stockées ou transitant à l’étranger, via notamment les opérateurs et fournisseurs de services en ligne, et cela sans passer par les tribunaux, ni même en informer les utilisateurs. Cette nouvelle règlementation américaine va à l’encontre des avancées en termes de protection des données personnelles prônées par le RGPD.

Les autorités publiques peuvent elles aussi pratiquer une utilisation abusive des données personnelles. Le flou juridique de certaines lois (comme les lois dites « d’exception ») laisse un large champ d’action aux agences de renseignements.

Le Système de Crédit Social (SCS) développé par la chine d’ici à 2020 combinera les scores de Sesame Credit (développé par Alibaba), les informations fiscales, les amendes routières et autres indications personnelles (comme des informations sur l’entourage) pour donner un score à chaque citoyen chinois. Le SCS est donc un système à points permettant d’évaluer le degré de confiance que l’on peut avoir dans les individus. Il permettra de contrôler les populations et de sanctionner les mauvais comportements. Pour l’heure, le gouvernement chinois a développé une liste noire, et ainsi, 11 millions de Chinois en 2018 ne pouvaient pas prendre l’avion ou le train à grande vitesse, ni acheter d’appartement (lire ici). Ce système de notation et de « listes noires » des individus est donc un exemple de surveillance en masse des citoyens, par des États autoritaires, contraignant les libertés individuelles. Cette notation des citoyens est une utilisation extrême des données. Cependant dans d’autres situations, les systèmes politiques démocratiques peuvent utiliser certaines de ces méthodes.

Les entreprises peuvent se retrouver dans une situation complexe entre une prolifération des réglementations sur la protection des données personnelles et l’ingérence des États demandant l’accès à celles-ci. Les entreprises peuvent difficilement protester publiquement sans faire aveu de l’existence de telles pratiques et de provoquer une crise de confiance de leurs utilisateurs. Leur seul moyen d’action reste alors de rassurer leurs utilisateurs et de contester en justice les demandes qui semblent abusives et d’apparaître en défenseur de la vie privée. Ainsi, deux pressions inverses s’exercent sur les entreprises : certains acteurs souhaitent des cadres plus flexibles pour saisir les opportunités de la monétisation, de l’optimisation des services et d’un marché en croissance, alors que d’autres demandent un renforcement du cadre juridique pour se protéger contre l’espionnage de masse comme révélé par Edward Snowden. Celui-ci a dévoilé à partir de 2013, des documents confidentiels de la NSA portant sur des programmes de surveillance des services secrets britanniques et américains sur les communications publiques mais aussi des écoutes de leurs alliés notamment Européens.

UN EXEMPLE DE BONNE PRATIQUE : VODAFONE
En juin 2015, Vodafone était la première entreprise à publier un rapport de transparence (Law Enforcement disclosure). Celui-ci couvre 29 pays et publie les demandes des États pour les « interceptions légales » (mise sur écoute permise par la loi) et les demandes d’accès aux métadonnées (informations descriptives sur les données). Vodafone a ainsi été confronté à des obstacles juridiques (complexité, manque de clarté et nature changeante des cadres légaux nationaux) et politiques (pressions de certains gouvernements pour que les interceptions ne soient pas rendues publiques).
Cependant, Vodafone indique que la comparabilité de la transparence entre entreprises semble difficile selon les pays et les opérateurs. Il estime ainsi que les acteurs privilégiés de la publication de ces données devraient être les gouvernements.

Conclusion

Le volume de données personnelles échangé ne cesse d’augmenter du fait de l’utilisation accrue des médias et des réseaux sociaux, ainsi que de la prolifération des objets connectés et de la vitesse des données échangées avec la 4G et bientôt la 5G.

Il semble de plus en plus difficile pour les utilisateurs de voir leur anonymisation, ainsi que leur vie privée garantie sur les réseaux. De même, l’attrait financier de ces données personnelles, voire sensibles, engendre une forte augmentation des vols de données. Le nombre croissant et la complexité des cyber-attaques fragilisent les entreprises qui peinent à renforcer leur résilience.

Ainsi, c’est pour contraindre les entreprises à mieux sécuriser les données personnelles qu’elles collectent, mais aussi pour donner aux citoyens européens plus de contrôle sur la manière dont leurs données sont utilisées et échangées qu’a été pensé le Règlement Général sur la Protection des Données.

Entré en vigueur le 25 mai 2018, le RGPD connaît un bilan mitigé pour cette première année. La mise en conformité des entreprises n’est pas terminée pour certaines PME et TPE, surtout que celle-ci implique de renforcer la sécurité de leurs systèmes. Les autorités européennes de protection des données, comme la Commission Nationale de l’Informatique et des Libertés en France, vont accentuer leurs contrôles et commencent à imposer les premières sanctions.

Le RGPD, en offrant un cadre juridique unique, fait figure de modèle. Il commence notamment a influencer les législateurs japonais, indiens, brésiliens, ou encore californiens. Il convient cependant de rester prudent : en Chine, si avec la loi sur la cyber-sécurité de juin 2017 la collecte, le transfert et toute autre utilisation des données personnelles restent limités, le gouvernement chinois détient le privilège de leur utilisation. Cette loi représente une manière de protéger les données personnelles mais aussi de mieux les surveiller.

Chez OFI AM, l’intégration de l’enjeu de la protection des données personnelles fait partie intégrante de l’analyse ESG des émetteurs. À titre d’exemple, celui-ci représente 33,33 % de l’évaluation « E » et « S » des entreprises du secteur des logiciels et applications. Rappelons que, conformément à notre méthodologie d’analyse extra-financière, la prise en compte de cet enjeu dans l’évaluation « E » et « S » diffère grandement d’un secteur à l’autre, selon le degré d’exposition des activités à cet enjeu.

Ainsi, avec l’appui des analyses de notre fournisseur de données extra-financières, de nos dialogues avec les managements des sociétés et le suivi des controverses, nous cherchons à appréhender au mieux les risques et les opportunités liés à la collecte des données.

Equipe d’analyse ESG d’OFI Asset Management

Cet ouvrage décline les travaux réalisés par l’équipe d’analyse ESG d’OFI Asset Management.

Les enjeux du Développement Durable constituent la « matière première » de l’ISR. Définis dans des textes de référence, le plus souvent des traités internationaux ou des déclarations comme les principes du Pacte mondial de l’ONU, les normes de l’Organisation Internationale du Travail… ces enjeux ont un impact direct sur l’ensemble des parties prenantes de la société et font naître des risques dont les conséquences présentent une forte « matérialité » pour les acteurs économiques.
Tous les secteurs d’activité ne font pas face aux mêmes enjeux ; certains étant même très spécifiques. Leur intensité varie aussi selon l’implantation géographique des entreprises. Ces enjeux sont susceptibles d’évoluer dans le temps, sous l’effet de la prise de conscience de la rareté des ressources ou de la pression de la société civile et des organisations. Face à ces enjeux, les acteurs se positionnent en apportant des réponses aux risques de formes diverses qui se font jour mais dont l’impact est significatif.
L’étude de la gestion des risques par les entreprises ainsi que celle de leur capacité à saisir les opportunités offertes constituent le fondement de notre méthodologie d’analyse.
Cette publication a pour objectif d’apporter un éclairage sur un enjeu ESG ainsi que les secteurs les plus directement concernés, en mettant en évidence les réponses, le positionnement et les pratiques des entreprises.

ACHEVÉ DE RÉDIGER LE 20 DECEMBRE 2019
Ce document d’information est destiné exclusivement à des clients non professionnels au sens de la Directive MIF. Il ne peut être utilisé dans un but autre que celui pour lequel il a été conçu et ne peut pas être reproduit, diffusé ou communiqué à des tiers en tout ou partie sans l’autorisation préalable et écrite d’OFI Asset Management. Aucune information contenue dans ce document ne saurait être interprétée comme possédant une quelconque valeur contractuelle. Ce document est produit à titre purement indicatif. Il constitue une présentation conçue et réalisée par OFI Asset Management à partir de sources qu’elle estime fiables. Les perspectives mentionnées sont susceptibles d’évolution et ne constituent pas un engagement ou une garantie. OFI Asset Management se réserve la possibilité de modifier les informations présentées dans ce document à tout moment et sans préavis. OFI Asset Management ne saurait être tenue responsable de toute décision prise ou non sur la base d’une information contenue dans ce document, ni de l’utilisation qui pourrait en être faite par un tiers. Les liens vers des sites web gérés par des tiers, présents dans ce document ne sont placés qu’à titre d’information. OFI Asset Management ne garantit aucunement le contenu, la qualité ou l’exhaustivité de tels sites web et ne peut par conséquent en être tenue pour responsable. La présence d’un lien vers le site web d’un tiers ne signifie pas qu’OFI Asset Management a conclu des accords de collaboration avec ce tiers ou qu’OFI Asset Management approuve les informations publiées sur de tels sites web. Photos : Shutterstock.com / OFI AM