Publications

Comment gérer une violation de données à caractère personnel ? – Par Saber Othmani
Publié le 24 décembre 2018

La logique de responsabilisation promue par la nouvelle règlementation en matière de données personnelles conduit les professionnels de toutes dimensions à se soucier de la sécurité des données traitées dans le cadre de leur activité.

Aujourd’hui, des entreprises de renommée internationale telles que les réseaux sociaux, les services postaux, ou encore des grandes compagnies hôtelières sont sujettes à des failles de sécurité aux impacts considérables. Dans cette logique, la CNIL a reçu pas moins de 1000 notifications de violations en 2018 dont 724 depuis l’entrée en application du RGPD le 25 mai dernier, portant sur un nombre gigantesque de personnes concernées (plus de 33 millions d’individus)[1].

Il est donc indispensable de se dôter d’un arsenal organisationnel et processuel dont le but est de faire face à toute incident de sécurité, de quelque type qu’il soit. De l’identification à l’éradication de la menace, tout doit être encadré et structuré au sein de l’entreprise pour éviter qu’une violation de données personnelles n’intervienne à nouveau.

Le pilier numéro 1 : l’identification de la violation de données et l’évaluation du risque

Le lancement d’une procédure de gestion en interne n’est pas efficient si l’entreprise ne se trouve pas face à une violation de données personnelles. De quoi s’agit-t-il ? On pourrait la qualifier d’une atteinte à la sécurité qui entrainerait « de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel »[2]. La faille constatée sur la sécurité peut être de tout ordre (logique, physique, voire organisationnel).

L’existence d’une faille de sécurité révèle donc plusieurs possibilités, dont l’insuffisance du caractère protecteur des mesures en place au sein du système d’information de votre entreprise, ou tout simplement l’absence de mesures techniques et organisationnelles, pourtant requises par le RGPD[3]

Pour faciliter l’identification, l’entreprise doit bien identifier une violation de données personnelles si elle veut mettre en place le dispositif voulu par la règlementation applicable. La présence d’un incident de sécurité qui ne porte pas sur des données personnelles ne conduit pas l’entreprise à appliquer le RGPD. Par exemple, un incident de sécurité peut être matérialisé par une infraction aux règles applicables aux traitements internes de l’entreprise.

Une fois la violation de données personnelles identifiée, il est indispensable d’étudier le risque, l’impact que représente cette violation sur les données des personnes concernées. Pour cela, l’entreprise devra notamment s’intéresser au type de la violation, au degré d’atteinte sur les données personnelles (nature des données touchées, volume de données affecté), au nombre de personnes concernées qui seraient impactées, à la nature de l’impact (matériel, physique voire moral), ou encore au secteur d’activité de l’entreprise.

Ces points d’orientation vont guider l’entreprise sur la nature exacte de la violation (de confidentialité, d’intégrité, de disponibilité des données)[4]et permettre de définir une véritable procédure conduisant à gérer au mieux la violation de données personnelles.

Pilier numéro 2 : Mettre en place une procédure dédiée à la gestion des violations

L’objectif est de définir un cadre dans lequel sera établi la manière de contenir, de gérer et de remédier à la violation de données personnelles.

La gestion processuelle de la violation implique au préalable l’existence d’un système de gouvernance, incarné par un groupe de postes compétents au sein de l’entreprise, que l’on peut appeler « comité de crise » pour les entreprises d’une plus grande envergure. Ce groupe doit inclure l’ensemble des compétences nécessaires qui faciliteront l’organisation à adopter en cas de violation de données, mais aussi l’évaluation de ladite violation dans ses versants juridique, technique, financier ou encore réputationnel.

Cette colonne vertébrale bâtie, il sera alors aisé de déployer un processus interne spécifiquement dédié au traitement de la violation, et au centre duquel se trouve un plan d’action. Il déterminera les rôles et les responsabilités de chaque acteur lorsqu’intervient une violation et fixera l’ensemble des tâches devant être mises en œuvre face à cet évènement.

Le processus doit reposer sur une certaine stabilité dans le temps et doit surtout inclure un nombre suffisant d’acteurs : il est en effet essentiel que celle-ci soit diffusée en interne afin d’instaurer une culture de la sécurité des données personnelles. Cela implique également de former les collaborateurs de l’entreprise à la thématique.

Le pilier numéro 3 : Documenter la violation de données personnelles (Interne + Externe)

La documentation de la violation de données personnelles s’effectue en effet à deux niveaux.

En interne tout d’abord, il s’agit de consigner l’évènement dans un registre dédié à cette fin[5]. Lorsqu’un incident de ce type se produit, il est nécessaire de documenter à minima les faits, les conséquences de la violation, ainsi que les mesures prises pour atténuer voire remédier à cette violation.

Il contiendra en effet l’intégralité des violations de données personnelles connues par l’entreprise, y compris lorsque celles-ci ne sont pas automatiquement sujettes à une notification externe.

Aujourd’hui généralisée à toutes les catégories d’entreprises par le RGPD[6], la notification des violations de données personnelles doit être effectuée à l’autorité de contrôle, voire aux personnes concernées par le traitement de données personnelles. Dans quel cas précis cette notification est nécessaire.

La notification à destination de l’autorité de contrôle doit être effectuée en respectant un délai de 72h à compter la prise de connaissance de l’incident par le responsable de traitement, et à la condition où un risque existe sur les droits et libertés des personnes concernées, peu importe sa gravité. Il est donc essentiel de se dôter un processus spécifique aux violations de donnée afin que le Responsable de traitement soit réactif dans le traitement et le signalement de l’incident de sécurité. Dans l’hypothèse où le Responsable de traitement ne peut se conformer au délai de 72 heures pour notifier l’autorité de contrôle, il doit nécessairement justifier de motifs impérieux qui devront être avancés auprès de ladite autorité.

Pour accompagner l’entreprise dans la bonne exécution de cette notification, la CNIL met à disposition un formulaire indiquant les mentions requises pour une notification complète et conforme[7].

Les personnes concernées doivent quant à elles être notifiées de la violation de données personnelles dans les meilleurs délais uniquement dans le cas où celle-ci représente un risque élevé pour leurs droits et libertés[8]. Pour autant, la règlementation offre au Responsable de traitement une marge de manœuvre avec la faculté de ne pas leur notifier la violation lorsque :

  • Les mesures techniques et organisationnelles nécessaires sont prises sur les données affectées par la violation,
  • Lorsqu’il apparaît que le Responsable de traitement a mis en place des solutions qui conduiront à ne plus revoir le type de violations de données précédemment subi.

Au même titre que la transparence requise envers l’autorité de contrôle, les personnes concernées doivent connaitre la teneur de la violation de données (faits et conséquences), ainsi que les mesures envisagées et prises pour remédier au problème.

Dans l’ensemble de cette gestion de la violation, le DPO devra jouer un rôle au niveau de l’évaluation du risque en interne et constituer le centre de contact envers l’autorité de contrôle et les personnes concernées. Il revêt une responsabilité importante dans le déroulement du processus et coordonne la marche à adopter par les différentes parties prenantes.

La violation de données personnelles est donc l’affaire de nombreux opérationnels, suivant la taille de l’entreprise, et doit faire l’objet d’un encadrement processuel rigoureux. L’actualité nous montre que les attaques connues par les plus grandes entités ont pu toucher des centaines de millions de personnes concernées et portaient sur des données personnelles au poids important[9], et la remédiation de ces violations est inenvisageable sans l’instauration d’un tel processus.

[1]https://www.cnil.fr/fr/infographie-bilan-4-mois-de-rgpd-en-chiffres-notification-de-violation

[2]Article 4.12 du Règlement Européen sur la Protection des Données (RGPD)

[3]Article 32 du RGPD

[4]Typologie des violations de données prévue dans les Lignes directrices édictées par le G29 sur la notification des violations de données personnelles, adoptées le 3 octobre 2017 et révisées le 6 février 2018

[5]Article 33.5 du RGPD

[6]Ancien article 34 de la Loi Informatique et Libertés avant sa modification adoptée le 20 juin 2018.

[7]https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

[8]Article 34.1 du RGPD

[9]https://www.businessinsider.com.au/data-hacks-breaches-biggest-of-2018-2018-12/amp