La protection des données personnelles occupe une place centrale dans les entreprises depuis l’entrée en vigueur du RGPD le 25 mai 2018.

En 2020, deux tiers des sanctions prononcées par la CNIL concernent des manquements à la sécurité de ces données. Pour cause, les données personnelles représentent de véritables mines d’or pour les hackers qui subordonnent leur restitution au versement d’une rançon ou les revendent directement. 

Aujourd’hui, Garoé vous livre 6 astuces pour bien agir en cas de violation de données personnelles.

1. Déterminer s’il y a violation

En cas d’incidents, vérifiez toujours si les données personnelles sont impactées. Retenez bien une chose : la violation de données est une cyberattaque, mais toutes les cyberattaques ne sont pas des violations de données personnelles !

La violation de données personnelles se définit comme la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées[1]

Cette atteinte peut être accidentelle (mauvaise manipulation, accident techniques, …) ou volontaire (cyberattaque, acte malveillant, …).

La violation peut revêtir diverses formes : un incendie rendant compliqué voire impossible la récupération de données, la suppression accidentelle de fichiers, un piratage informatique…

2. Agir en interne

Dès que la violation est avérée, le responsable de traitement doit en être informé. Il devra alors il rapidement déterminer si cette violation est susceptible d’engendrer un risque pour la personne concernée par ces données.

Le RGPD ne donne pas de définition précise de ce qu’est un « risque ». Un début de réponse est donné dans les considérants n°75, 76 et 85 du règlement. Généralement, il s’agit d’évaluer la gravité et la probabilité de survenance des conséquences que pourrait entraîner cette violation.

Pour ce faire, le responsable de traitement devra se baser sur plusieurs critères :

• La nature, le volume et la sensibilité des données ;
• Le nombre et le type de personnes touchées ;
• Les possibilités d’identification de ces personnes ;
• Les conséquences de cette violation (préjudice physique, matériel, moral).

L’intégralité des informations recueillies devront être consigner dans un registre, peu importe que la violation présente un risque ou non.  

3. Notification à la CNIL

L’incident devra être impérativement notifier à la CNIL à partir du moment où la violation présente un risque vis-à-vis des droits et libertés des personnes touchées.

3.1 Les délais

La notification doit intervenir dans un délai de 72 heures maximum après la constatation de la violation. Le point de départ de ce délai commencera au moment où le responsable de traitement est pratiquement certain que l’incident présente un risque pour les données.  

Un retard dans la notification devra être justifié aux autorités.

Enfin, une notification complémentaire pourra être réalisée pour ajouter des informations supplémentaires.

3.2 Le processus

La déclaration de la violation se fait via le site internet de la CNIL et exigera :

• Une description de la nature de la violation de données, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif de données à caractère personnel concernées ;
• Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel il est possible d’obtenir plus d’informations ;
• Une description des mesures prises ou envisagées, y compris des mesures visant à atténuer les éventuelles conséquences négatives ;
• Une description des conséquences probables de la violation de données.

4. La notification aux personnes concernées

La notification aux personnes concernées n’est pas systématique. Elle intervient uniquement dans le cas d’un risque élevé pour les droits et libertés de ces dernières.

4.1. Les délais

L’article 34 du RGPD évoque une notification « dans les meilleurs délais ». Aucune précision n’est apportée sur la signification de cette expression.

Dans la pratique, le délai de notification varie selon la situation. Si le risque est immédiat, la notification doit elle aussi être immédiate. Si l’entreprise est en mesure d’arrêter l’incident ou de la survenance de violations similaires, les délais sont rallongés.

4.2. La procédure

Le message doit être direct, clair et transparent. Cela se traduit dans la pratique par un courrier, un SMS, une notification d’applications ou bien une bannière sur le site internet écrits dans une langue comprise par la personne concernée et contenant uniquement la transmission de l’information sur la violation.

Doivent être notifiés :

• La nature de la violation ;
• Le nom et les coordonnées du responsable de la protection des données ou d’un autre de contact ;
• La description des conséquences probables de la violation ;
• Le détail des mesures prises ou envisagées par le responsable du traitement pour remédier à la violation, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets néfastes.

4.3. Les exceptions

Aux termes de l’article 34 du RGPD, la notification aux personnes concernées n’est pas obligatoires dans deux cas de figure :

• Dès lors que des mesures de protection technique et organisationnelle appropriées ont été appliquées aux données à caractère personnel concernées et ont, en particulier, rendu les données incompréhensibles à toute personne non autorisée (ex : chiffrement) ;
• Si des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser, ont été mises en œ

5. Prévoir un plan de reprise

Le Plan de Reprise d’Activité (PRA) est l’outils indispensable pour protéger votre entreprise en cas de crises informatiques. Ce plan permet de rétablir le système d’information en garantissant le fonctionnement de l’activité en cas d’incidents techniques à l’aide d’un plan de sauvegarde et de remise en route.

Les différentes étapes de la procédure sont contenues dans un document écrit.

Le PRA peut revêtir diverses formes :

• Site internet de secours ;
• Sauvegarde des données sur un data center secondaire ;
• Utilisation d’un service cloud ;
• ….

Des spécialistes proposent leurs services sur le marché. Chez Garoé, nous pouvons vous mettre en relation avec des experts partenaires du cabinet. 

6. Prévenir les risques

Le RGPD ne se contente pas de donner la démarche à suivre en cas de violation des données.

Le but premier de ce règlement est de sensibiliser les entreprises à la protection des données personnelles qu’elles sont susceptibles d’utiliser ou de posséder. A ce titre, et afin de prévenir tout risque de violation, les entreprises doivent mettre en place des mesures techniques et organisationnelles préventives.

6.1. Le principe d’accountability

Le RGPD a instauré le principe d’« accountability », selon lequel les entreprises sont dans l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de prouver leur bonne conduite dans la protection des données.

Les entreprises doivent ainsi être en mesure de prouver à la CNIL qu’elles ont identifié, évalué et encadré les risques. L’ensemble des mesures doivent être répertoriés dans un document écrit.

Voici les différentes mesures à lister :

• Les solutions de sauvegarde disponibles sur les différents serveurs en backup ; 
• Les firewall, antivirus, chiffrement à activer sur chaque ordinateur des salariés ;
• Les procédures de cryptages devant être respectées ; 
• Les différents niveaux d’accès des salariés à certaines informations (permet de limiter par exemple les risques de fraudes telles que les fraudes au président par exemple) ; 
• Les cas de violations déjà subis, la manière dont ils ont été traités, qui a été touché, quelles solutions ont été mises en œuvre. 

6.2. Les formations des salariés

Des salariés bien formés seront en mesure de réagir efficacement et rapidement en cas d’incident.

N’hésitez à leur réserver du temps de formation concernant ces problématiques et ce, quelles que soient leurs compétences sur le sujet et leurs grades !

6.3. La grille d’évaluation des risques

Il est également nécessaire de prévoir une grille d’évaluation des risques détaillant les obligations dont est tenu le responsable de traitement en cas de violation.

6.4. La simulation de cyberattaques

Enfin, la simulation de cyberattaques est un bon moyen de pouvoir anticiper aux mieux les risques.

La simulation doit être réalisée par un professionnel compétent afin d’éviter toute mauvaise surprise. De plus, cela permettra également de se rapprocher au mieux de ce à quoi pourrait ressembler une réelle attaque.

Ce qu’il faut retenir de tout ce blabla

Avant toute chose, prévenez les risques avant même qu’ils ne surviennent :

• Faites un état de lieu de votre système informatique (analyse des ordinateurs, vérification des solutions anti-intrusions, cryptage des données importantes,.)
• Formez vos équipes pour quelles soient capables de réagir en cas d’incident. On ne le répètera jamais assez mais des salariés préparés sont un gage de sûreté de plus. ;
• Prévoyez un plan de reprise afin de remettre en route rapidement et efficacement les systèmes en cas de faille.
• Mettez en place une grille d’évaluation des risques détaillant les obligations dont est tenu le responsable de traitement en cas d’incidents (vérification des risques, déclaration de la violation, …)
• N’hésitez pas à simuler des cyber-attaques (encadrée bien sûr par un professionnel compétent).

Si malgré toute votre bonne volonté votre entreprise doit faire face à un incident, prévenez immédiatement le responsable de traitement afin qu’il vérifie si cet incident pourrait avoir des répercussions sur les données personnelles détenues par l’entreprise.

Dans le cas où l’hypothèse d’une violation serait confirmée, le responsable de traitement devra évaluer les conséquences sur les droits et libertés de la personne concernée par les données personnelles, selon la grille d’évaluation précitée. Trois cas de figures s’ouvrir à lui :

• La violation ne présente aucun risque pour ces droits et libertés : pas besoin de déclarer la violation
• La violation présente un risque pour les droits et libertés : une déclaration à la CNIL doit être effectuée sous 72 heures
• La violation présente un risque élevé pour les droits et libertés : la violation doit impérativement être notifiée à la CNIL sous 72 heures ainsi qu’à la personne concernée dans les meilleurs délais (sauf exceptions prévues par le RGPD)

Maintenant vous avez les bases pour savoir comment agir en cas de violation de données personnelles ! 

—

Chez Garoé Avocats nous travaillons en synergie avec les membres de notre écosystème, partenaires, clients et entreprises passionnés qui ont besoin de notre assistance technique et de notre expertise dans de nombreux domaines.

Si vous souhaitez en discuter avec nous, n’hésitez pas à nous contacter via notre page contact ou par mail à contact@garoe-law.com .

[1] Article 4.12 du RGPD