Fermer la publicité
Journal d'information juridique et d'annonces légales

La responsabilité en matière de cybersécurité au cœur des priorités des directions juridiques

le - - Actualité - Interview

La responsabilité en matière de cybersécurité au cœur des priorités des directions juridiques
© Adobe Stock - Enquête récente menée par l'Association of Corporate Counsel décryptée par Giuseppe Marletta et Emmanuelle Bartoli, enquête récente menée par l'Association of Corporate Counsel décryptée par Giuseppe Marletta et Emmanuelle Bartoli, respectivement directeur de la branche européenne de l'association et responsable de la protection des données chez Capgemini.

Une enquête récente menée par l'Association of Corporate Counsel (ACC) sur les priorités des directions juridiques révèle que le défi du télétravail à grande échelle et l'exploitation croissante des données contribuent à faire de la cybersécurité un domaine de responsabilité en expansion pour les équipes juridiques internes des entreprises. Giuseppe Marletta, directeur de la branche européenne de l'association, et Emmanuelle Bartoli, responsable de la protection des données et des affaires publiques chez Capgemini (avocate ex agent de la CNIL) et adhérente de l'association, nous décryptent les résultats de cette étude.

Affiches Parisiennes : Comment et pourquoi cette étude a-t-elle été menée ?

Giuseppe Marletta : L'ACC conduit cette étude que l'on nomme la CLO Survey depuis 20 ans déjà et qui interroge uniquement les directeurs juridiques. Le but est de connaître leurs sentiments sur l'évolution de leur métier.

Cette année, encore une fois, on note une tendance positive non seulement au niveau du nombre de participants, 947, mais aussi concernant les secteurs d'activité représentés : 21 industries différentes représentées dans 44 pays.

Pour la première fois, la cybersécurité est passée devant la conformité juridique en tant que problématique la plus importante à laquelle les entreprises sont confrontées. S'il s'agissait déjà d'une préoccupation importante l'année dernière, elle l'est encore plus aujourd'hui. Dans l'ordre des fonctions qui relèvent du directeur juridique, seule la conformité juridique (74 %) dépasse la cybersécurité et la confidentialité des données (46 %), suivies par l'éthique de l'entreprise, l'évaluation des risques et les fonctions liées aux affaires gouvernementales.

Il est intéressant de noter que l'Europe suit la tendance globale, c'est-à-dire que les résultats observés auprès des juristes européens sont les mêmes que ceux des autres pays. La cybersécurité est donc un sujet sur lequel nous travaillons beaucoup en mettant en œuvre de nombreuses initiatives.

Une autre étude de l'ACC a montré que 71 % des organisations ont placé leurs directeurs juridiques soit dans un rôle leader en matière de stratégie liée à la cybersécurité, soit au sein d'une équipe ayant des responsabilités dans ce domaine. Elle a également révélé que 18 % des organisations ont un juriste interne entièrement dédié à la cybersécurité, soit un chiffre en hausse de 12 % par rapport à 2018.

A.P. : Le constat de cette enquête vous a-t-il étonné ? N'est-ce pas la suite logique de l'évolution du droit, notamment depuis l'application du RGPD ?

Emmanuelle Bartoli : Effectivement oui nous nous y attendions dans la mesure où cela va dans le sens de l'histoire. On observe depuis plusieurs années un renforcement de la pression réglementaire sur les entreprises ce qui a clairement recentré les sujets règlementaires. Plus spécifiquement les sujets liés à la protection des données et la cybersécurité, sont au cœur de l'agenda des entreprises dans la mesure où de nouvelles réglementations européennes comme le RGPD (Règlement général sur la protection des données), la directive NIS (Network and Information Security) en cours de révision ou le Cyber Security Act sont sur la table du législateur européen.

On constate également le même élan vers plus de réglementation sur ces sujets-là dans les pays hors de l'Union européenne. Cela explique je pense le fait que les résultats sont assez harmonisés sur les différentes zones géographiques interrogées et qu'il n'y a pas de disparité entre les points d'intérêts des juristes. On trouve en Europe ce qu'on a dans le reste du monde, puisque beaucoup de pays en dehors de l'UE suivent également cette tendance à une pression règlementaire renforcées, s'inspirant un peu du modèle européen pour certains, ou qui cherchent en tout cas à réglementer plus avant les sujets autour de la donnée, des nouvelles technologies et de la cybersécurité.

Pour ces raisons, les résultats de l'enquête ne sont pas vraiment une surprise dans la mesure où c'est un phénomène qu'on observe depuis plusieurs années. Il est vrai que cinq ans auparavant, c'était un sujet placé peut-être un peu plus bas dans l'agenda des entreprises, y compris des directions juridiques, et c'est monté vraiment en flèche à partir de 2016, et même dès que les premiers projets du RGPD sont sortis en 2012.

Et au-delà de la pression réglementaire, les entreprises ne vivent plus sans numérique et sans données. La valeur de ces données qui ne cesse de croître, rendent d'autant plus nécessaire leur protection accrue. Tout est centré autour de la donnée avec le développement de l'intelligence artificielle, de la 5G et des objets connectés. Il y a donc davantage de risques de cyberattaques et d'autres atteintes aux données. Les entreprises sont donc particulièrement attentives à la façon dont leurs données vont être traitées et protégées, et ce non seulement d'un point de vue technique mais également juridique.

G.M. : Disons que le résultat ne nous a pas surpris et que ça traduit une tendance globale qui se construit. C'est intéressant aussi de voir que le niveau des ressources reste important et progresse même au niveau global, que les départements juridiques continuent de grandir malgré la crise Covid-19, ou bien à cause de celle-ci ! C'est un peu trop tôt pour le dire, mais cette croissance des budgets est vraiment quelque chose qui nous a surpris positivement.

"Pour la première fois, la cybersécurité est passée devant la conformité juridique en tant que problématique la plus importante à laquelle les entreprises sont confrontées." G.M.

A part ça, nous observons que la diversité des équipes et le développement durable sont des thèmes qui gagnent de plus en plus en importance. C'est aussi quelque chose de notable.

A.P. : Ce n'est donc pas une préoccupation temporaire mais un sujet qui va rester important dans votre domaine d'activité ?

E.B. : Oui, complètement. Et ce d'autant plus pour une entreprise comme Capgemini qui fait partie des acteurs de la transformation digitale et qui accompagne ses clients sur ces sujets au quotidien. Ces préoccupations vont partie de l'ADN de nos services désormais. Encore une fois, comme finalement tout est centré autour de la donnée, les problématiques juridiques qui en découlent vont perdurer.

Le plus grand réseau de juristes au monde !

L'Association of Corporate Counsel (ACC) est un réseau professionnel international très actif qui réunit les juristes d'entreprise du monde entier en promouvant leurs intérêts communs par l'information, l'éducation, le développement de réseaux, et des initiatives de soutien de la profession.

Basé à Bruxelles où il y a un des deux bureaux européens de l'ACC (l'autre étant basé à Londres), Giuseppe Marletta, le directeur Europe de l'association, explique qu'elle compte aujourd'hui plus de 47 000 membres à travers 85 pays ce qui en fait « le plus grand réseau de juristes au monde ». Ces milliers d'adhérents, qui sont parfois avocats ou directeurs juridiques (dénommés les CLOs pour Chief legal officers), exercent dans des entreprises et d'autres organisations du secteur privé y compris des associations et des organisations à but non lucratif. L'ACC Europe est « le chapitre le plus grand de l'association depuis un an et quelques mois donc on est très heureux », confie-t-il, en soulignant qu'il s'emploie à poursuivre « l'objectif de mettre en réseau les juristes d'entreprises de différentes industries ayant différents niveaux d'expérience et de leur fournir des ressources pour leur développement professionnel et personnel ».

A.P. : Les directions juridiques sont-elles bien armées pour gérer la responsabilité en matière de cybersécurité ?

G.M. : Une grande partie de directeurs juridiques qui ont répondu à l'étude se disent confiants, et estiment qu'ils sont capables de gérer les problématiques juridiques liées à la cybersécurité. Cela comprend aussi l'aspect ressources de leurs services et de leurs entreprises, donc la réponse est oui. Tant au niveau européen qu'au niveau global, on note une certaine sécurité et une confiance dans la capacité des sociétés à réagir correctement à une cyberattaque.

E.B. : Pour Capgemini la réponse va un peu dans le même sens car c'est un phénomène qu'on avait anticipé de par notre cœur de métier. Donc nous sommes clairement très bien équipé en interne avec des juristes qui sont spécialisés sur les sujets de protection des données, de cybersécurité. Nous avons mis en place un réseau d'experts articulé au niveau du groupe et cascadé dans les régions et les pays afin de pouvoir s'assurer que nous disposons de niveaux de réponse adapté en fonction de la sévérité de l'incident.

"Les résultats de l'enquête ne sont pas vraiment une surprise dans la mesure où c'est un phénomène qu'on observe depuis plusieurs années." E.B.

Par ailleurs, nous organisons régulièrement des formations pour les juristes afin qu'ils disposent d'un bon socle de connaissances d'un point de vue technique, et pas seulement d'un simple vernis de connaissance. Cela s'avère particulièrement important afin qu'ils sachent parler et interagir avec les opérationnels. Parce que c'est aussi un des grands enjeux sur ces sujets-là : la place du juridique aux côtés des équipes opérationnelles. C'est en ça que nous nous sentons bien armés : nous avons construit des groupes de travail avec des équipes cyber, IT mais également les opérationnels sur le terrain afin de multiplier les points de contrôles de bout en bout.

A.P. : Avez-vous davantage de demandes juridiques sur la cybersécurité depuis le début de la crise Covid ?

E.B. : Effectivement, de nombreuses questions juridiques ont été soulevées notamment en matière de cybersécurité. Le département juridique s'est mobilisé dès le début afin de répondre à ces questions et a pu accompagner les équipes opérationnelles, notamment sur les questions liées à la cybersécurité dans un contexte de développement du télétravail.

A.P. : Faut-il former les juristes aux risques cyber et comment ? Les directions juridiques recrutent-elles des profils spécialisés de type hybrides IT-Droit ?

E.B. : Pour le moment ce sont plutôt les juristes qui se sont formés. Je ne vois pas encore beaucoup de profils hybrides, comme on le voit déjà en propriété intellectuelle où les CPI ont effectivement des profils mêlant le technique et le juridique. En matière cyber, c'est plutôt des juristes qui montent sur ces sujets et qui se forment au cours de leur carrière.

A.P. : L'ACC propose-t-elle des formations en cyber ?

G.M. : Oui, tout à fait. L'association propose des formations en présentiel, mais c'était avant la Covid quand on pouvait se déplacer, et beaucoup de programmes virtuels qui s'occupent de former et d'équiper les services juridiques sur les questions cyber.

A.P. : S'agit-il d'une préoccupation sectorielle ?

G.M. : Non, c'est tout à fait global. Je dirais que dans le secteur comme celui où Emmanuelle travaille, dans tout ce qui est tech et communication, c'est plus rapide donc les entreprises ont un besoin plus immédiat, mais sinon on le ressent partout, que ce soit dans le domaine commercial, bancaire ou immobilier. Une fois qu'il y a des données qui sont utilisées, peu importe le secteur, la nécessité de les protéger est là, c'est juste une question de réactivité !

E.B. : C'est exactement ce qu'on observe chez nos clients. C'est vrai que le secteur bancaire a été encore un plus précurseur sur ces sujets-là par la sensibilité des données qu'il est amené à traiter et vu que la digitalisation de l'offre bancaire qui a commencé il y a un certain temps.

"Une fois qu'il y a des données qui sont utilisées, peu importe le secteur, la nécessité de les protéger est là" G.M.

Mais on voit maintenant que ça touche tous les secteurs, que ce soit l'énergie, la santé ou même le luxe, où les données et l'IT ne sont pas forcément des sujets à l'origine de leur cœur de métier. Mais ces secteurs se digitalisent et sont donc amenés à prendre en compte les risques liées à la protection des données et à la cybersécurité. Ils ont des besoins vraiment très précis sur ces sujets, et ce qu'on constate quand on a des rencontres avec les clients c'est que nos interlocuteurs sont également très spécialisés.

A.P. : L'essor de cette nouvelle matière et l'importance que prend la protection des données vont-ils renforcer le poids des directions juridiques auprès de la gouvernance des entreprises ?

G.M. : Certainement oui. C'est d'ailleurs le sujet principal de campagne de l'ACC qui est intitulé « Seat at the Table » et qui milite pour que les juristes prennent leur place à la table des instances dirigeantes et puissent participer à la prise des décisions stratégiques. Et justement, vu qu'on voit de plus en plus de responsabilités pour le service légal qui est impliqué dans tout ce qui est cybersécurité, via une unité dédiée (task force) ou un programme géré par ses services, ça justifie son inclusion dans la direction de l'entreprise. Quand il y a une crise c'est la fonction légale qui intervient. On peut faire le parallèle en matière de cybersécurité car c'est une sorte de crise, mais moins immédiate, qui permet de mettre en avant le talent des avocats et des juristes d'entreprise qui règlent ces problématiques.

E.B. : Par essence, ce type de sujet permet effectivement de faire monter le positionnement du juridique dans l'organisation car il montre sa nécessité et son apport concret. Il y a aujourd'hui un grand besoin de transversalité avec les différents départements des entreprises et, du coup, ça met très vite en avant le côté pratique de la fonction légale. Ce travail intégré entre les différents services fait aussi grandir les directions juridiques. En effet, en se positionnant mieux cela leur a permis de prouver leur utilité pour le business et d'obtenir davantage de budget.

A.P. : S'agit-il d'une activité que vous pouvez valoriser précisément auprès de la direction ?

E.B. : A ce jour, nous n'avons pas encore mis en place de KPI (Key Performance Indicator – soit des indicateurs clés de performance qui peuvent être budgétés et permettent de calculer le retour sur investissement d'une opération, ndlr) qui nous permettraient effectivement encore plus nous positionner et de nous vendre en interne. Toutefois, je pense que c'est quelque chose qui pourrait se faire dans le futur.

G.M. : Effectivement, c'est encore trop récent, à mon avis, pour avoir vraiment des KPI, ce processus qui est capable de mesurer la valeur produite. Je ne suis pas au courant d'éventuels membres de l'ACC qui ont des KPI sur ce sujet.

Propos recueillis par Anne Moreaux




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer