Les entreprises face à une violation de données à caractère personnel
Beaucoup de sociétés subissent une violation de données à caractère personnel à un moment ou une autre…cependant très peu y sont préparées.
Dans le présent article, nous allons établir ce que vous pouvez faire et comment vous pouvez vous préparer à cette éventualité afin de réduire vos risques.
Des attaques extérieures d’une société telles que des cybercriminels, des virus et des cyber-pirates, ainsi que des erreurs internes peuvent être à l’origine d’une violation de données à caractère personnel
Les différents types d’événements et d’attaques qui peuvent entraîner des violations sont nombreux. De nombreuses entités ne sont pas en mesure de déterminer à quelle fréquence elles ont été victimes d’une attaque ou si elles ont subi une violation de données à caractère personnel. Pourquoi en est-il ainsi ? Parce que la plupart des sociétés n’ont pas de système en place pour les détecter – il faut noter qu’une violation de données à caractère personnel n’est pas toujours évidente d’une manière immédiate, en raison des techniques sophistiquées des cybercriminels et des faiblesses de la sécurité informatique. Cependant, la majorité des atteintes à la protection des données sont dues à des erreurs humaines ou des erreurs de traitement plutôt que des cybercriminels sophistiqués.
Les origines d’une violation de données à caractère personnel:
Des attaques par hameçonnage
Accès non autorisé
Programme malveillant
Rançongiciel (Ransomware)
Les violations de données à caractère personnel et le RGPD
Les obligations des responsables de traitement et des sous-traitants
En cas d’une violation de données à caractère personnel, le RGPD stipule que les responsables de traitement et les sous-traitants ont tous deux des obligations auxquelles ils doivent se conformer. Les responsables de traitement sont souvent en première ligne avec leurs clients et, dans certains cas, sont les seuls qui traitent les données personnelles de leurs clients. Un sous-traitant est un tiers auquel le responsable de traitement confie le traitement de données à caractère personnel. Si aucun traitement de données n’est sous-traité, le responsable de traitement est lui le seul responsable des données personnelles de ses clients.
Dans le cadre du RGPD, tous les sous-traitants doivent disposer d’un contrat de traitement des données avec les responsables du traitement. Ces contrats doivent définir le rôle des responsables du traitement des données et des sous-traitants en ce qui concerne le signalement d’une violation de données à caractère personnel.
Il est important que les responsables de traitement mettent en œuvre des processus de signalement standardisés afin que toute partie dans sa chaîne logistique puisse signaler efficacement une violation des données ou tout problème connexe.
Selon le RGPD, et selon sa gravité, une violation de données doit être signalée dans les 72 heures suivant le moment où le responsable de traitement en prend connaissance.
Lorsque le temps arrive pour décider s’il y a lieu d’aviser la survenance d’une violation des données à l’autorité de contrôle (l’ICO au Royaume-Uni ou la CNIL en France), le responsable de traitement doit examiner si la violation est susceptible de porter préjudice à ou de compromettre les droits et libertés des personnes concernées (si cela est peu probable, le responsable du traitement n’est pas tenu d’aviser l’autorité de la violation).
Si la violation est susceptible de créer un risque pour les droits et libertés fondamentaux des personnes concernées en matière de vie privée, le responsable de traitement doit signaler la violation à l’autorité de contrôle. Si la violation des données est susceptible de créer un risque élevé pour la personne concernée, le responsable de traitement doit en informer la personne concernée ainsi que l’autorité de contrôle.
Le RGPD laisse au responsable de traitement le soin de déterminer le niveau de risque. Toutefois, ce que le responsable de traitement considère comme étant un risque peut être très différent de l’opinion de la personne concernée. En effet, il convient de rappeler qu’une violation peut avoir des conséquences très graves pour les personnes concernées, mais en même temps, les autorités européennes sont également préoccupées par la « sur-déclaration » des entités dans les cas où elles ne sont pas légalement tenues de le faire. Il est donc toujours sage de contacter un avocat spécialisé dans le domaine de protection des données afin de vous aider à remplir vos obligations de déclaration en cas de violation de données.
Les exigences relatives au signalement d’une violation des données à caractère personnel
La société victime d’une violation de données à caractère personnelles sera invitée à remplir un formulaire. Les processus sont légèrement différents d’une autorité de contrôle à l’autre dans les différents États membres, il vaut donc toujours la peine de vérifier auprès de votre autorité de contrôle nationale quel est le mécanisme de signalement des violations de données accepté. Par exemple, l’utilisation du formulaire par L’ICO a pour but de déterminer si le responsable du traitement a mis en œuvre un plan d’intervention en cas de violation de données à caractère personnelles et s’il connaît la quantité de données à caractère personnel traitées ainsi que les catégories de données qui ont été affectées.
Que doivent faire les sociétés ?
Sensibilisation et responsabilisation
En cas de violation de données, l’entité concernée doit être en mesure d’identifier le nombre d’enregistrements susceptibles d’être affectés ainsi que la nature des données concernées.
Cette obligation vise principalement à garantir que la société est consciente des risques associés à des violations de données et de leur impact sur les activités de l’entité et ses personnes concernées. Par conséquent, on peut également demander aux sociétés d’évaluer le temps nécessaire pour rétablir les fonctions essentielles après une violation de données et si elles ont mis en place un plan de communication qui leur permettra d’informer les parties concernées par cette violation. Il est donc très important de veiller à ce que des procédures de signalement et d’audit adéquates soient en place.
Formation du personnel
En ce qui concerne le personnel, les autorités de contrôle voudront savoir que tous les membres du personnel participant au traitement des données à caractère personnel ont reçu une formation adéquate en matière de protection des données — idéalement, au moins une fois tous les deux ans. Les autorités de contrôle voudront également s’assurer que tous les membres du personnel connaissent les procédures à suivre lorsqu’ils découvrent ou soupçonnent une violation de données à caractère personnel.
Mesures de sécurité et audits
Les sociétés doivent être en mesure de démontrer qu’elles ont mis en œuvre des mesures appropriées pour protéger les données à caractère personnel et limiter les dommages qui pourraient survenir. Par exemple, ceci pourrait se faire en effectuant des vérifications et des validations externes ou en utilisant des normes telles que PCI DSS ou bien ISO 27001 et ISO 2702.
Bien que l’obtention d’une certification ISO ne soit point réaliste pour une petite entreprise, et qu’elle n’est pas requise par le RGPD, suivre des normes de pratique exemplaire aide à démontrer la conformité avec le RGPD et à protéger vos données personnelles contre des violations.
Délai de signalement d’une violation de données à caractère personnel
Sous le RGPD, une violation de données qui doit être notifiée, doit être soumise à l’autorité de contrôle national dans les 72 heures suivant sa découverte. Défaut d’aviser l’autorité de contrôle dans le délai prévu peut entraîner des amendes. Cependant, dans l’éventualité d’une violation de données plutôt complexe, il est parfois possible de la soumettre à l’autorité après ce délai de 72 heures avec l’autorisation de cette dernière.
Surveillance
Il est important que toutes les entités déterminent qui est responsable des questions de protection des données. Cela pourrait se faire par la nomination d’un délégué à la protection des données (DPD). Bien que la nomination d’un DPD ne soit pas une obligation légale pour les petites entreprises, il peut néanmoins être utile de nommer un administrateur chargé de la protection des données ou de faire appel aux services d’un praticien externe spécialisé dans la protection des données qui sera généralement en mesure de répondre aux questions et de surveiller les questions relatives à la vie privée.
Gestion des interventions en cas d’incident
Il est bonne pratique pour toutes les entités de mettre en œuvre une gestion appropriée des interventions en cas d’incident. Cette idée s’applique à tous les secteurs et non seulement en situation de violation de données et aux questions concernant les données personnelles. Un bon processus de gestion des interventions en cas d’incident aidera toute entité à gérer les événements imprévus et perturbateurs et à réduire l’impact de ces événements.
Les sociétés devraient donc envisager la mise en œuvre d’un processus spécifique de gestion des interventions en cas d’incident de violation de données qui devrait fournir les lignes directrices sur la façon de procéder en cas de violation de données, mais qui devrait aussi aider l’organisation à se préparer et à prévoir les risques potentiels (c.-à-d. en effectuant des évaluations régulières, en analysant la cybersécurité et en considérant les implications des personnes, processus et technologies).
De plus, l’implémentation d’un plan de réponse et de suivi lui permettra de mener efficacement une enquête et d’apprendre des violations, notamment comment récupérer et restaurer toute donnée et prévenir la répétition de telles violations.
Si vous avez besoin de conseils précis sur la façon de gérer une violation des données ou si vous avez besoin d'aide pour mettre en œuvre des techniques de gestion de telles violations, n'hésitez pas à nous contacter !
Article rédigé par Justin Boileau @ Gerrish Legal, juin 2019