tout sur les violations de données

dans

Identification, anticipation, réaction :

La gestion des violations de données

n’aura plus de secret pour vous !

 

En mars 2022, l’Assurance Maladie annonçait avoir été victime d’une cyberattaque ayant entraîné une violation des informations médicales de plus de 500 000 Français [1]. En novembre 2022, c’était au tour de la plateforme de musique en streaming « Deezer » de révéler la fuite des données de ses utilisateurs, qu’elle avait confiées à l’un de ses partenaires commerciaux[2].

Nous ne trahissons aucun secret en rappelant que les données personnelles ont désormais une valeur économique importante dans notre société numérique. Convoités par des hackers souhaitant revendre ces renseignements aux plus offrants, les organismes sont de plus en plus nombreux à révéler ces intrusions survenues dans leurs systèmes d’information.

Mais les piratages informatiques ne sont pas les seules hypothèses de violations de données, loin de là.

Comment prévenir, identifier ou réagir face à de telles violations de données ? RGPD-Experts vous livre tous ses secrets[3] !

 

Qu’est-ce qu’une violation de données ?

D’après l’article 4(12) du Règlement Général sur la Protection des Données (RGPD), il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé » à ces données.

Cette formulation recouvre en fait tous les incidents de sécurité ayant pour conséquence de compromettre :

A) L’intégrité des données personnelles (elles sont ou ont été modifiées par des personnes non autorisées)

ET/OU

B) Leur confidentialité (d’autres personnes que celles spécifiquement habilitées à en connaître ont pu y avoir accès)

Exemple: un collaborateur envoie par mégarde le dossier d’un patient à un autre, en se trompant d’adresse e-mail.

ET/OU

C) Leur disponibilité (elles n’ont plus été accessibles ou exploitables selon les formes et modalités prévues, temporairement ou définitivement).

 Exemple: impossibilité pour un client de consulter son compte personnel sur le site d’une entreprise.

Toute faille de sécurité ne constitue donc pas nécessairement une violation de données ! Tant que la vulnérabilité n’est pas exploitée ou ne compromet pas de données à caractère personnel, il ne s’agit nullement de violation.

Exemple: l’intervention du personnel d’entretien d’une société en dehors des heures d’ouverture des bureaux constitue bien une vulnérabilité pour les systèmes d’information de l’organisme, mais pas une violation de données si les données n’ont pas pu être compromises (notamment si elles n’ont pas pu être consultées, car stockées dans des armoires fermées à clé).

Quelles sont les obligations des organismes en la matière ?

Qui ? Tous les organismes sont tenus de mettre en place les mesures techniques et organisationnelles appropriées pour prévenir la survenance de violations de données.

En revanche, en cas de violation de donnée avérée, seuls les responsables de traitement doivent gérer cette situation. C’est à eux qu’il appartient de prendre les mesures nécessaires pour remédier à la violation, en atténuer les éventuelles conséquences négatives et éventuellement notifier la CNIL[4], les personnes concernées ou d’autres autorités si cela s’impose.

Cela ne signifie pas que les sous-traitants sont exempts de tous devoirs. En cas de violation de données, ils doivent impérativement en notifier le responsable de traitement dans les meilleurs délais après en avoir pris connaissance (1) et aider ce dernier à respecter ses propres devoirs (2), notamment en lui transmettant l’ensemble des informations dont il a connaissance. Pas question d’emporter avec lui des secrets dans la tombe !

Quoi ? En plus de tout mettre en œuvre pour éviter la survenance d’une violation de données, le responsable de traitement est tenu :

De tenir un registre des violations de données

Les textes encadrent d’ailleurs non seulement l’existence même de cette documentation, mais aussi son contenu. Certaines mentions doivent obligatoirement y apparaître (la nature de la violation, les catégories et le nombre approximatif de personnes concernées / fichiers concernées, les conséquences probables de la violation, les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation, etc.).

Vous ne pouvez pas gérer ces incidents dans le secret: tous doivent être renseignés dans ce registre.

 

De notifier éventuellement la violation…

(A) À la CNIL

Le responsable de traitement n’est tenu de notifier la violation de données à la CNIL que si celle-ci est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Autrement dit, il n’est pas obligé d’en informer l’autorité de contrôle si l’incident constitue une simple faille de sécurité et non une violation de données, si la violation ne concerne pas de données à caractère personnel (ex. : informations sur une personne morale), ou encore s’il ne fait courir aucun risque pour les droits et libertés des personnes concernées (ex. : la perte par un collaborateur de l’entreprise de son ordinateur professionnel, dont l’ouverture est protégée par un mot de passe « fort » et dont le disque dur est chiffré).

Cette notification de la CNIL doit intervenir dans les meilleurs délais, et au plus tard 72 heures à compter du moment où le responsable de traitement a connaissance de la violation de données, par le biais d’un téléservice sécurisé dédié disponible à l’adresse suivante : https://notifications.cnil.fr/notifications/index .

Là encore, la législation prévoit expressément les renseignements à transmettre à la Commission[5].

Au-delà de ce délai, le responsable de traitement devra, en plus de son signalement, justifier à la CNIL les motifs du retard de sa notification. Pas sûr que ces secrets lui plaisent !

ATTENTION – La CNIL aura alors un rôle d’accompagnement et d’encadrement (recommandations, vérification du registre interne des violations de données, vérification de la nécessité d’informer les personnes concernées voire injonction de le faire…), mais pas seulement ! La mission générale de contrôle dont elle est investie n’est jamais bien loin. Cette notification est susceptible de constituer le point de départ d’un contrôle global de votre conformité par la CNIL, au-delà de la seule violation de donnée.

D’où l’importance d’avoir étudié au préalable les circonstances dans lesquelles vous devriez notifier ou non la CNIL

Si vous l’en avisez alors que cela n’était pas nécessaire, vous risquez d’attirer inutilement l’attention de la Commission sur votre organisme. Celle-ci pourrait ensuite percer les secrets de certaines de vos pratiques inavouables en matière de protection des données à caractère personnel… Mais si vous ne le faites pas, alors que cela s’imposait, cela constitue une violation du RGPD, punissable tant sur le plan administratif que pénal [6].

Le sous-traitant qui ne notifierait pas cette violation au responsable de traitement encourt les mêmes peines.

(B) Aux personnes concernées

Le responsable de traitement n’est tenu de notifier la violation de données aux personnes concernées que si celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Eux aussi ont le droit de savoir que leur jardin secret ne l’est plus tant !

Cette notification doit s’effectuer :

  • Dans les meilleurs délais après que le responsable de traitement en ait pris connaissance ;
  • Avec la transmission de certains renseignements expressément prévus par les textes ; En des termes clairs simples et précis ;
  • Selon le mode de communication de son choix. La législation n’impose pas les modalités de cette communication. Le responsable de traitement doit utiliser les coordonnées (postale, téléphonique, courriel) ou autres éléments dont il dispose (pseudonyme, numéro d’identification interne ou en ligne, « chat »…) pour joindre individuellement chaque personne concernée.

Par exception, le responsable de traitement n’est pas tenu d’informer les personnes concernées si :

 Il avait pris en amont ou après la violation de données des mesures garantissant que le risque élevé pour les droits et libertés des personnes ne se concrétisera pas.

Exemple : les données personnelles affectées sont incompréhensibles pour toute personne non autorisée à y avoir accès, notamment par la mise en place de codes secrets / mesure de chiffrement conforme à l’état de l’art et dont la clé n’a pas été compromise.

→ La communication exigerait des efforts disproportionnés pour le responsable de traitement

Exemple : le responsable du traitement ne dispose d’aucun élément permettant de contacter les personnes concernées.

ATTENTION : dans cette situation, le responsable de traitement devra informer les victimes par une communication publique, ou toute autre mesure aussi efficace.

(C) Aux autres autorités de régulation, si la législation le prévoit

Il convient donc de vous renseigner, selon la nature des activités menées par votre structure, si vous êtes tenu d’alerter d’autres autorités spécifiques que la CNIL de cette violation de données (l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour les « opérateurs d’importance vitale » ; les Agences Régionales de Santé (ARS) et du groupement d’intérêt public en charge du développement des systèmes d’information de santé partagés pour les établissements de santé, etc.).

En résumé 

Ce n’est pas un secret de polichinelle : plus vous anticiperez la survenance d’une violation de données, plus vous serez à même de gérer sereinement cette situation pourtant anxiogène !

Nous ne pouvons que vous inciter à mettre en place, dans votre organisme, une procédure permettant d’encadrer ces différentes étapes et s’inscrivant dans la documentation[7] de votre conformité. Les points à étudier sont nombreux, et comprennent notamment, sans que cette liste soit exhaustive :

1)      La mise en place de dispositifs de détection des incidents de sécurité ;

2)     La création d’un registre des incidents de sécurité ;

3)     L’instauration de mesures d’évaluation de la certitude et du niveau de gravité de ces incidents ;

·      Constituent-ils seulement une faille de sécurité ? Une violation de données ? Une violation ne présentant aucun risque / un risque / un risque élevé pour les droits et libertés des personnes concernées ?

·      La détermination de la liste des critères à prendre en compte pour évaluer au cas par cas la gravité du risque pour les droits et libertés des personnes concernées : type de violation, sensibilité des données personnelles visées, nombres de personnes concernées et facilité à les identifier, durée de la violation dans le temps, conséquences possibles de la violation à leur égard, mesures de sécurité préexistantes, etc.

4)     Les réflexes à adopter en cas de violation de données avérée. Compte tenu des délais courts dans lesquels vous êtes tenus d’agir, il est essentiel de prévoir par écrit :

·         Des instructions précises pour vos sous-traitants face à une telle situation, dans vos contrats de sous-traitance ;

·         Identifier le personnel compétent (en interne, mais aussi les acteurs externes susceptibles d’être impliqués) ;

·         Organiser le signalement interne de l’incident de sécurité ;

·         Mener les investigations nécessaires pour qualifier l’incident (cf. étape 2) et pour établir le contexte de la violation de données (circonstances, ampleur, gravité) ;

·         Documenter l’incident ;

·         Prévoir les réponses à apporter à l’incident de sécurité (mesures possibles de résolution de l’incident ; éventuelle notification de la violation de données à l’autorité de contrôle /aux personnes concernées / autres autorités de régulation préalablement identifiées ; signalement possible des forces de l’ordre /autorités judiciaires compétentes / assurance, etc.).

5)     Tirer les conséquences de l’incident de sécurité pour éviter qu’il ne se reproduise à l’avenir.

Le secret d’une bonne procédure réside dans son anticipation !

Tout ce qui aura été organisé en amont vous fera gagner un temps précieux en aval. Notre équipe de professionnels est à votre disposition pour vous accompagner dans cette démarche.

Mais surtout, dans notre souci de simplifier chaque jour un peu plus vos actions de conformité, RGPD-Experts a développé Register +, un logiciel de suivi de votre conformité facile d’utilisation et entièrement sécurisé. Cette solution vous permet de centraliser sur une seule et unique plateforme l’ensemble de votre documentation RGPD. Notre outil comprend évidemment un accompagnement à la constitution de votre registre des violations et failles de sécurité, mais pas que !

 

 

Nous vous invitons à vous rapprocher de notre équipe pour tester notre solution et en savoir plus sur ces fonctionnalités :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] https://www.cybermalveillance.gouv.fr/diagnostic/4008fd34-144b-4f88-8edf-8571c5da593e

[2] https://support.deezer.com/hc/fr/articles/7726141292317-Violation-de-Donn%C3%A9es-par-un-Tiers

[3] Ou presque ! Compte tenu des subtilités de cette problématique et pour des raisons matérielles, cet article constitue une présentation générale du cadre légal applicable aux hypothèses de violation de données, mais n’est nullement exhaustif.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[5]  Si le responsable de traitement n’a pas encore à sa disposition toutes ces informations, les textes l’autorisent à notifier l’autorité de contrôle au fur et à mesure de ses propres investigations, c’est-à-dire de façon échelonnée en fonction des éléments qu’il découvrirait encore après le délai de 72 heures.

[6] En dehors des sanctions prévues par le RGPD, le fait pour un responsable de traitement de ne pas procéder à la notification d’une violation de données est puni de 5 ans d’emprisonnement et 300 000 € d’amende, conformément à l’article 226-17-1 du Code pénal.

[7] Conformément au principe d’ « accountability » prévu à l’article 5(2) du RGPD, le responsable de traitement est tenu non seulement de respecter la législation en vigueur en matière de protection des données, mais aussi d’être capable de démontrer à tout moment et par tout moyen sa conformité.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.