Comment faire face à une violation de données ?

Depuis quelques années, on dénombre une augmentation importante de personnes touchées par une violation de données. Cette augmentation des incidents de sécurité témoigne de la progression des usages numériques, de la prise de conscience croissante des utilisateurs qui notifient davantage les incidents mais également d’une cybercriminalité qui progresse fortement.

Tous les organismes qui traitent des données personnelles doivent donc mettre en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d’incident. Les obligations prévues par le RGPD visent à éviter qu’une violation cause des dommages ou des préjudices aux organismes comme aux personnes concernées.

Définitions

Il est décrit à l’article 4.12 du RGPD qu’une violation de données est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. 

Tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles constitue une violation de données.

Exemple de violations de données : envoi d’un mail groupé sans cci, cryptolocker infectant un réseau, perte d’une clé USB non chiffrée contenant des données à caractère personnel.

Mais qui est concerné par la notification des violations de données ?

Tous les organismes, publics comme privés et quelle que soit leur taille, sont soumis à ces obligations dès lors qu’ils traitent des données personnelles et qu’ils ont connaissance d’une violation de données personnelles.

La procédure à suivre

Le principe : Le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.

Il convient donc de distinguer trois situations :

–       Si une violation de données est relevée et qu’aucun risque n’a pesé sur les personnes concernées : il convient de documenter en interne l’incident de sécurité dans le registre des violations de données ;

–       Si la structure identifie une violation de données et que celle-ci fait peser un risque sur les droits et libertés des personnes concernées : il convient de notifier la violation de données à l’autorité de contrôle (la Cnil) dans un délai maximal de 72 heures à partir de la constatation de l’incident ;

–       Si la structure identifie une violation de données et que celle-ci fait peser un risque élevé sur les droits et libertés des personnes concernées : il convient de notifier la violation de données à la Cnil dans un délai maximal de 72 heures à partir de la constatation de l’incident et d’informer les personnes concernées dans les meilleurs délais.

Si jamais la structure a des doutes concernant l’information des personnes, il est possible, lors de la notification de la violation de données, de demander l’avis de la Cnil, qui se chargera de faire un retour sur la nécessité ou non d’informer les personnes concernées.

La notification à la Cnil

Le RGPD impose la notification de cette violation de données auprès de la CNIL dans les 72 heures à partir de la constatation de la violation de données via ce téléservice https://notifications.cnil.fr/notifications/index .

·       Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

·       La communication du nom et des coordonnées de la personne à contacter (DPO ou autre) ;

Une notification possible en deux temps

·       Les conséquences probables de la violation des données ;

Une fois la notification réalisée, il est important de conserver le récépissé transmis par la Cnil à des fins de traçabilité. Le récépissé doit être annexé au registre des violations de données et permet de répondre à l’obligation de documentation interne.

·       La nature de la violation de données, les catégories et le nombre approximatif de personnes concernées par la violation ;

  1. Une notification initiale dans un délai de 72 heures si possible à la suite de la constatation de la violation : Si le délai de 72 heures est dépassé, vous devrez expliquer, lors de votre notification, les motifs du retard ;

Toutefois, si vous ne pouvez pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, vous pouvez procéder à une notification en deux temps :

La notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.

·       Les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

L’objectif est de décrire au maximum l’évènement, ce qui l’a entraîné, les impacts et les mesures mises en place pour limiter l’impact sur les personnes concernées. Il vous sera notamment demandé lors de cette notification :

  1. Enfin, une notification complémentaire dès lors que les informations complémentaires sont disponibles.

Dépôt de plainte

Si la violation de données qui a été notifiée à la Cnil est due à une cyberattaque, il est conseillé de déposer plainte au commissariat de police ou à la gendarmerie la plus proche et de tenir à disposition des enquêteurs tous les éléments de preuves techniques en votre possession.

L’information des personnes

La notification aux personnes concernées doit à minima contenir en des termes clairs et précis, les éléments suivants :

  • La nature de la violation ;
  • Les conséquences probables de la violation ;
  • Les coordonnées de la personne à contacter (DPO ou autre) ;
  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Elle doit être complétée, dès lors que cela est nécessaire, de recommandations à destination des personnes pour atténuer les effets négatifs potentiels de la violation et leur permettre de prendre les précautions qui s’imposent.

Documentation interne

Qu’il y ait notification ou non de la violation de données via le téléservice de la Cnil, la documentation en interne est nécessaire à des fins de traçabilité. Le registre des violations devra notamment contenir les éléments suivants :

  • La nature de la violation ;
  • Les catégories et le nombre approximatif des personnes concernées ;
  • Les catégories et le nombre approximatif d’enregistrements concernés ;
  • Les conséquences probables de la violation ;
  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;

Le sous-traitant doit notifier au responsable du traitement toute violation de données dans les meilleurs délais après en avoir pris connaissance. Cette information permet ainsi au responsable de traitement de respecter ses obligations et de procéder aux formalités en la matière.

(Plateforme nationale d’assistance aux victimes d’actes de cybermalveillance : mise à disposition de conseils / vidéos de sensibilisation, information sur les services de proximité en cas de dommages causés par une attaque informatique)

Afin de se protéger et respecter cette obligation dans les délais qui lui incombent, le responsable de traitement doit spécifier, dans le contrat qui le lie au sous-traitant, un délai de notification maximal de cet incident de sécurité à partir du moment où il en a connaissance.

Dans le cadre d’un traitement transfrontalier, c’est auprès de l’autorité « chef de file » que la notification de la violation doit être réalisée. Il ne s’agit pas obligatoirement de l’autorité de contrôle française, la Cnil, même si la violation affecte des personnes résidant en France et qu’elle s’est produite sur le territoire français.

Cela n’écarte donc ni l’obligation faite au sous-traitant d’informer le responsable du traitement de toute violation de données dans les meilleurs délais ou délais prévus par le contrat, ni les obligations propres au responsable du traitement. En effet, il revient au responsable de traitement de mettre à jour son registre des violations des données et de décider s’il est nécessaire ou non de notifier la violation à l’autorité de contrôle.

Pour aller plus loin

  • Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Le rôle du sous-traitant en cas de violation de données

Au niveau du contenu de la notification à réaliser sur le téléservice de la Cnil, le déclarant doit indiquer si la violation touche un traitement transfrontalier et dans la positive, quels sont les autres États membres de l’Union concernés par le traitement. La CNIL se charge ensuite d’informer les autres autorités.

A ce titre, le responsable du traitement peut tout à fait demander au sous-traitant d’agir en son nom afin que ce dernier notifie la violation à l’autorité de contrôle, si le responsable du traitement estime que la violation en cause est susceptible de présenter un risque pour les personnes concernées.

Cas particulier : les violations de données touchant un traitement transfrontalier

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie