Qu’est-ce qu’un texte chiffré ?
On appelle texte chiffré des données chiffrées et illisible. La seule façon de lire des données chiffrées est de les déchiffrer à l'aide d'une clé de chiffrement. Comme le texte chiffré ne peut être lu sans...
Les entreprises sont de plus en plus souvent tenues pour responsables des violations des données des employés. Mais les employeurs peuvent prendre des mesures pour atténuer la probabilité et l’impact des violations.
Toute entreprise qui utilise un système électronique de paie et d’allocations stocke et traite des données sensibles sur les employés (soit pratiquement toutes les entreprises en activité aujourd’hui). Une cyberattaque compromettant les données des employés comporte de nombreux risques, notamment en termes de responsabilité juridique, d’interruption d’activité et d’atteinte à la réputation.
La responsabilité de l’employeur est la responsabilité légale d’une entreprise de respecter les lois et les règlements. La responsabilité de l’employeur s’applique généralement à des questions telles que les salaires, les charges sociales, le harcèlement et la discrimination.
Par exemple, les employés peuvent poursuivre leur employeur si l’entreprise favorise un environnement de travail dangereux ou hostile. L’entreprise devra payer des dommages et intérêts si le tribunal se prononce en faveur des employés.
Dans le domaine de la cyber sécurité, la responsabilité de l’employeur oblige l’entreprise à protéger les informations personnellement identifiables (PII) de ses employés. La définition exacte des PII varie d’une juridiction à l’autre. On peut généralement considérer que les PII des employés sont des données gérées par les équipes des RH et de la comptabilité.
Parmi les types courants de PII des employés, citons :
Les PII des employés sont en grande partie les mêmes que celles des clients. Jusqu’à récemment, un grand nombre de poursuites engagées contre des entreprises après une violation de données étaient centrées sur la divulgation de données clients.
Toutefois, les actions collectives intentées contre les employeurs pour négligence, violation de contrat ou pratiques commerciales déloyales à l’égard de leurs employés gagnent en popularité auprès des tribunaux, ce qui les met sur la sellette. La Cour suprême de Pennsylvanie ayant statué en novembre 2018 que les employeurs ont l’obligation, en vertu de la common law, de protéger les PII des employés, les tribunaux fédéraux, étatiques et locaux ont fait de même.
Il est important de noter que les employeurs (et non les fournisseurs tiers) sont responsables en cas de violation des données des employés.
Lors d’un procès intenté par un ancien employé d’une société biopharmaceutique, la Cour d’appel des États-Unis pour le troisième circuit a estimé qu’il suffisait qu’une violation de données entraîne un préjudice potentiel pour que la responsabilité de l’employeur soit engagée. Lorsque le logiciel de paie de l’entreprise biopharmaceutique a laissé filtrer des données lors d’une violation, c’est l’employeur, et non l’éditeur du logiciel, qui était responsable de la publication des données des employés sur le dark Web.
Les réglementations normatives en matière de confidentialité des données, notamment le California Consumer Privacy Act (CCPA) et le règlement général sur la protection des données (RGPD) de l’Union européenne, contiennent également des dispositions obligeant les employeurs à protéger la confidentialité des données de leurs employés aussi rigoureusement que celle des données de leurs clients.
Le RGPD prévoit que les entreprises doivent obtenir un consentement volontaire et clair pour collecter, stocker et utiliser les données des employés. Ils doivent par exemple préciser comment les données RH seront utilisées.
CommonSpirit Health, l’un des systèmes de santé les plus importants des États-Unis, a subi une attaque par ransomware en octobre 2022, impactant plus de 623 000 personnes. La chaîne hospitalière a arrêté le système affecté pour éviter d’autres dommages à son environnement informatique, dont son système électronique de gestion du temps et des salaires. La société a perdu 150 millions de dollars en revenus suite à cette perturbation.
Après que l’entreprise a restauré ses systèmes, les infirmières de certains sites de l’entreprise dans l’Oregon ont déclaré avoir été sous-payées au cours des périodes de paie qui ont suivi l’attaque. Le syndicat représentant les employés de certains sites de la chaîne dans l’Oregon réclame 1,5 million de dollars de dommages et intérêts pour plus de 600 employés, au titre des salaires impayés, des pénalités de retard et d’autres dommages. Le procès est toujours en cours.
Cette action vise à obtenir réparation pour des salaires impayés, mais d’autres actions intentées par des salariés ont porté sur les dommages liés à l’augmentation du risque ou à la survenance de l’usurpation de l’identité des salariés dont les données ont été divulguées lors d’une attaque.
Parmi les procès récents et notables qui ont mis en cause la responsabilité de l’employeur à la suite d’une cyberattaque, on peut citer :
Comme pour la violation de CommonSpirit, les cyberattaques ont un impact sur les entreprises dans un certain nombre de domaines différents.
La responsabilité de l’employeur et le respect des réglementations en matière de confidentialité augmentent les risques et les coûts, qui s’ajoutent aux dépenses déjà élevées liées à la réponse à une cyberattaque.
Selon le rapport de Keeper sur le recensement de la cybersécurité aux États-Unis en 2022, l’entreprise américaine moyenne subit environ trois cyberattaques réussies chaque année. Le coût moyen dépasse les 75 000 dollars, et 37 % des entreprises paient au minimum 100 000 dollars par cyberattaque. Le coût peut être dévastateur pour les petites et moyennes entreprises.
Les employeurs peuvent réduire leur responsabilité en cas de cyberattaque sur les données des employés en s’assurant qu’ils sont couverts de la manière suivante :
Les employeurs peuvent limiter la responsabilité et les risques en contrôlant et en surveillant l’accès aux comptes et aux informations sensibles.
Keeper Privileged Access Manager (KeeperPAM) a été conçu pour protéger les environnements multi-cloud sans périmètre contre les cyberattaques. En proposant une gestion des mots de passe, des secrets et des connexions privilégiées de niveau entreprise dans une plateforme simple, KeeperPAM permet aux entreprises de réduire de manière rentable leur surface d’attaque et de protéger leurs employés et leurs appareils.