Dans le cas traité il s’agissait d’une multinationale américaine avec plusieurs sites aux Etats-Unis, mais aussi en Europe dont le siège européen est en Espagne. Elle a des relations avec une société basée en Europe mais pas aux Etats-Unis. Par contre elle a des sous-traitants en Inde. La perte de données s’est fait de façon assez classique par la perte d’une clé USB non chiffrée contenant des informations confidentielles concernant des données sur différents pays européens et les Etats-Unis par un sous-traitant travaillant en Inde. L’employé ne s’aperçoit de la perte que 2 jours après et le RSSI ne la signale que 10 jours après.

Le client de sous-traitant doit s’enquérir de qui est le RSSI. Puis il devra débuter une analyse de risque de cette perte de données. Il faut aussi appeler son assureur pour savoir si ce risque est couvert. Dans le cas de la France le problème sera sans doute de trouver un assureur qui voudra bien prendre le risque assurer ce type d’événement.... à des coûts raisonnables. Enfin, il faut essayer de minimiser la perte. En effet, cela va lui permettre de mieux mesurer le risque et de prendre les décisions nécessaires : soit de n’avoir rien à faire jusqu’à la notification aux personnes physiques et morales concernées par cette perte. Dans ce cas, les implications peuvent concerner plusieurs pays donc avec des législations différences à respecter. Une action peut être aussi engagée contre le sous-traitant. Bien sûr, ce traitement doit être réalisé par étape qui permettra d’ajuster la réponse. Selon, nos experts, il est nécessaire de former les collaborateurs à l’évaluation de ce type de risque afin qu’ils puissent réagir dans les délais les plus courts possibles. La clé réside aussi le dialogue avec son assureur en particulier pour les pays où, les lois sont les plus sévères. Dans tous les cas, dans tous les pays où la déclaration de perte de données est obligatoire, il ne faudra pas hésiter à prendre contact avec l’organisation en charge. En moyenne le délai maximum est de 3 semaines ont rappelé nos experts.

Pour la société américaine, ce problème est relativement grave d’autant que la clé USB n’était pas chiffrée ce qui amplifie le problème. Donc, cette société va réellement mettre la pression et se défausser sur son sous-traitant afin qu’il assume l’intégralité du préjudice. D’autant que la juridiction concernée est en principe celle du pays où le préjudice est constaté. Ainsi, dans ce cas, la société américaine a plusieurs filiales dans différents Etats, il y aura plusieurs juridictions concernées. De même en Europe en fonction des Etats, il y a des différences. Par exemple en Espagne il n’y pas d’obligation de signification alors que c’est le contraire en Allemagne. Dans le cas de la Grande Bretagne, le cas est encore différent. Ainsi, cette perte d’une simple clé USB non chiffrée devient pour ce sous-traitant un problème mondial avec des implications considérables et inextricables...

Pour éviter de telle situation, il est donc particulièrement recommandé de chiffrer tous les documents stratégiques et d’imposer à ses sous-traitants de le faire aussi !