Publication du guide "Le prix de la protection des données" de DLA Piper et Aon

On en parle
Outils
TAILLE DU TEXTE

DLA Piper et Aon (NYSE: AON) analysent l'assurabilité des amendes dans le cadre du RGPD.

DLA Piper et Aon (NYSE: AON) ont récemment publié un guide, "Le prix de la protection des données" , en vue du Règlement Général sur la Protection des Données (RGPD) entré en vigueur le 25 mai 2018.

Le guide analyse la question de l'assurabilité des amendes en cas d'infraction au RGPD à travers l'Europe, pouvant atteindre jusqu'à 20 millions d'euros ou jusqu'à 4% du chiffre d'affaire annuel de l'entreprise. Le guide se penche également sur l'assurabilité des coûts engendrés par le non-respect du RGPD (contentieux, enquête, dommages et intérêts) ainsi que sur l'assurabilité des amendes
règlementaires de manière générale.

Le guide souligne que seules quelques juridictions en Europe permettent la couverture d'assurance des amendes civiles et pour ce faire, l'assuré ne peut être l'auteur d'une faute intentionnelle ou d'une négligence grave. Les amendes pénales sont en revanche rarement couvertes. Les amendes administratives prévues par le RGPD sont de nature civile, mais le Règlement prévoit également la possibilité pour les pays membres de l'Union européenne d'imposer leurs propres sanctions en cas de violation de données personnelles.

Les principales conclusions sont les suivantes :
- Parmi les pays étudiés, seules la Finlande et la Norvège permettent une couverture d'assurance des amendes attribuées dans le cadre du RGPD ;
- Sur les 30 juridictions étudiées, 20 d'entre elles ne prévoient pas la possibilité de couvrir les amendes attribuées dans le cadre du RGPD dont le Royaume-Uni, la France, l'Italie et l'Espagne ;
- Pour huit des juridictions étudiées, la possibilité de couvrir les amendes dans le cadre du RGPD est incertaine. Dans ces juridictions, des spécificités propres à chaque cas, telles que la conduite de l'assuré et la qualification pénale d'une amende, doivent être prises en compte.

Bien que l'assurabilité des amendes dans le cadre du RGPD soit limitée, l'assurance constitue un élément clé de la stratégie de gestion des risques d'une organisation afin de gérer les coûts engendrés par le non-respect du RGPD et les pertes résultant d'une interruption d'activité. De tels coûts pourraient inclure des frais de justice, de contentieux, d'enquête règlementaire et d'autres frais de dommages et intérêts et de notification de violation des données aux personnes concernées.

Vanessa Leemans, directrice commerciale, Aon Cyber Solutions EMEA, commente : "le RGPD exposera des organisations à des risques considérablement plus grands au regard de la façon dont elles gèrent et conservent les données personnelles. Les violations de données personnelles et autres cyber-événements pourraient amener des entreprises à faire face à des amendes considérables et des coûts importants. C'est pourquoi il est essentiel que les organisations prennent conscience de leur exposition. Elles devraient collaborer étroitement avec leurs partenaires d'assurance pour s'assurer d'avoir une solution de transferts de risque et un plan de réponse aux incidents en place".

Les organisations peuvent également faire face à des dégâts en termes de réputation et de position sur le marché dans le cas d'incidents notoires d'atteinte à la protection de données.

Pour Denise Lebeau-Marianna, Associée en charge de la pratique protection des données chez DLA Piper à Paris : "Avec l'arrivée du RGPD, les personnes ont pris conscience de l'importance de protéger leurs données et leur vie privée - en témoignent les plaintes collectives rassemblant plusieurs milliers de plaignants déposées auprès de la CNIL quelques heures seulement après l'entrée en application du nouveau règlement. Le RGPD représente une source importante de risques pour les entreprises (sanctions financières lourdes, impact négatif sur l'image et la réputation, possibilité de recours des personnes concernées pour obtenir la réparation de leurs préjudices, etc.) qu'il convient d'intégrer dans sa politique de gestion des risques, en souscrivant notamment des polices d'assurance appropriées.
DLA Piper s'est associé à AON dans le cadre de ce rapport conjoint pour fournir un aperçu de l'assurabilité des risques associés à la règlementation data en Europe et de l'impact financier potentiel d'une violation de cette règlementation. Si les pénalités financières ne peuvent être assurées (comme l'indique l'étude AON) , en revanche l'assurabilité des risques propres à l'entreprise (par exemple les cyber-risques) n'est pas impossible et nécessite une étude au cas par cas."

 


Lex Inside du 14 mars 2024 :

Lex Inside du 5 mars 2024 :

Lex Inside du 1er mars 2024 :