68 % des français se disent de plus en plus sensibles à la question de la protection de leurs données personnelles (d’après un sondage Ifop de 2019).
Or, le défaut de sécurisation des données personnelles constitue aujourd’hui un motif récurrent de plainte et de notification auprès de la CNIL. 2/3 des sanctions prononcées par la CNIL visent des manquements à l’obligation de sécurité des données. En témoignent les actualités récentes dans le secteur médical (fuite de données personnelles dans les hôpitaux ou les laboratoires), ou encore la sanction récente de deux médecins aux amendes respectives de 3000 euros et 6000 euros pour n’avoir pas respecté l’obligation de notification de la violation des données de leurs patients auprès de la CNIL.
Dans une ère où la majorité des organisations publiques ou privées récoltent et stockent de manière exponentielle des données à caractère personnel, c’est-à-dire toute information susceptible d’identifier directement ou indirectement une personne physique, le risque relatif aux violations de données personnelles est devenu un enjeu majeur pour les entreprises, et ce notamment depuis l’entrée en vigueur du RGPD en mai 2018 ayant renforcé les règles de prévention et notification en la matière.
De fait, n’importe quelle entreprise au cours de sa vie sociale est aujourd’hui susceptible d’être concernée par une faille, une violation de données qu’il s’agisse d’une erreur interne, d’une négligence, d’une cyber-attaque ou ransomware ou même d’un simple cas fortuit, tel un incendie.
Ces violations impliquent donc de mettre en place des mesures préventives et curatives dans chaque entreprise en suivant une démarche de “Security by Design”.
Alors, concrètement, si demain votre entreprise est victime d’une telle violation, que devez-vous faire ?
Identifier la violation
Toute entreprise ou organisme traitant des données personnelles, doit mettre en place des mesures internes visant à prévenir et réagir en cas d’incident ou faille de sécurité susceptible d’entraîner une violation de données personnelles.
Mais pour les anticiper et les traiter, encore faut-il savoir identifier ces cas de violation de données.
Le RGPD définit une violation de données à caractère personnel comme toute violation de sécurité ou incident, illicite ou accidentel, entraînant une altération, une perte, une destruction ou une divulgation de ces données, ou l’accès non autorisé à celles-ci.
Concrètement, cette définition permet d’envisager plusieurs grandes catégories de violations :
- les failles de sécurité ou vulnérabilités : c’est le cas par exemple, lorsque le protocole défaillant d’une entreprise dévoile des données en clair sur un site (comme des informations de cartes bancaires). La faille peut alors souvent être involontaire, mais peut engendrer des actes malveillants venant exploiter cette vulnérabilité du système d’information et entraîner par la même une violation.
- les violations consécutives à des actes de cyber-attaques tels que le ransomware (rançongiciel) : il s’agit dans ce cas d’une attaque volontaire et malveillante visant à compromettre et altérer les données personnelles. Dans le cas d’un ransomware, l’auteur de l’attaque va souvent prendre les données en otage, par exemple en les chiffrant afin de les rendre inutilisables, en réclamant ensuite une rançon contre leur déchiffrement.
- les actions humaines : il peut s’agir d’erreurs involontaires ou d’actions volontaires, le plus souvent internes à l’organisation concernée. C’est le cas lorsque un salarié se fait voler son ordinateur professionnel et que ce dernier n’était pas protégé (disque dur non chiffré par exemple). Ou à l’inverse volontairement lorsqu’un salarié sur le départ vole une clé USB contenant des fichiers clients de son entreprise pour les livrer à son nouvel employeur.
- les cas fortuits : enfin, le cas fortuit, tel un incendie, une inondation ou une catastrophe naturelle peut également constituer une violation de données personnelles à partir du moment où les données sont impactées par cet évènement. Ainsi, la CNIL a rappelé que le récent incendie des serveurs de l’hébergeur OVH constitue bien une violation de données personnelles au sens du RGPD.
Les obligations du RGPD au regard de telles violations pèsent sur tous les responsables de traitement. Le responsable de traitement doit tout mettre en place pour prévenir ces éventuelles violations mais également réagir pour les corriger et en atténuer les effets. Cela inclut notamment l'obligation de notifier à la CNIL toute violation présentant un risque, même minime, dans un délai de 72h.
Le sous-traitant qui agit pour le compte du responsable de traitement est également responsable à son niveau : il est également tenu de prévenir la violation par des mesures de sécurité appropriées et lorsqu’il a connaissance d’une violation, il est tenu de la notifier au responsable de traitement concerné dans les plus brefs délais. Contrairement au responsable de traitement, aucun délai précis ne pèse toutefois sur le sous-traitant pour avertir le responsable de traitement.
(Pour en savoir plus sur l’impact du RGPD sur l’éditeur SaaS, consultez cet article )
À défaut de mesures préventives et correctives mises en place, l’impact peut être lourd pour l’entreprise concernée, et ce de plusieurs manières :
- les données peuvent subir une perte d'intégrité : c’est le cas lorsque les données sont altérées, modifiées (modification des coordonnées d’un utilisateur) ;
- les données peuvent être bloquées et rendues indisponibles ;
- les données peuvent ne plus être confidentielles : les données sont visibles et exposées publiquement. C’est le cas par exemple lorsqu’un fichier client est envoyé par erreur à un mauvais destinataire par mail ou lorsqu'un ordinateur non chiffré est volé ou perdu.
On voit donc que l’identification de la violation implique donc d’identifier plusieurs facteurs, telle que son origine, sa nature et surtout ses conséquences sur les données personnelles et personnes concernées par de telles données. Cette caractérisation aura par ailleurs un impact direct sur les obligations de notification pesant sur le responsable de traitement.
Rappelons que l’entreprise qui ne respecte pas les obligations de sécurité et de notification des violations auprès de la CNIL s’expose à de lourdes sanctions, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. Au-delà de ces amendes, les sanctions font souvent l’objet d’une publicité sur le site de la CNIL.
Pour toutes ces raisons, il est fortement recommandé aux entreprises (responsable de traitement et sous-traitant) de prévoir des procédures internes permettant d’anticiper, détecter, évaluer, corriger et documenter les risques de violations de données.
Anticiper la violation
La lutte pour la sauvegarde et la protection des données personnelles au sein d’une entreprise démarre par la prévention. Avant même que la violation ne se présente, il s’agit de l’anticiper. La CNIL et les autorités réglementaires recommandent de ne pas négliger cette étape et de mettre en place des mesures techniques et organisationnelles à même de prévenir ces violations.
Cette procédure d’anticipation doit être formalisée et documentée. Cela s’inscrit dans la lignée du principe d'accountability prévu par le RGPD.
Cette obligation d’anticipation implique par ailleurs de fait pour l’entreprise de prévoir des mesures de protection des données personnelles dès sa création ou dès la conception d’une application ou site internet. Le fameux “privacy by design”, autre principe essentiel du RGPD.
Les entreprises devront dans ce cadre prévoir de sensibiliser et former leurs collaborateurs sur la gestion de ces risques (sensibiliser les salariés aux cyberattaques telles que les techniques de phising, à l’importance du respect de la charte informatique…). Tous doivent être en mesure de connaître la procédure à suivre en cas de violation : qui doit être prévenu au sein de l’entreprise ? Quel processus activer pour identifier la violation ? Quelles sont les premières actions à mettre en place en cas d’identification d’une violation et afin d’en minimiser les conséquences ?…
Cela passe par une documentation précise devant répertorier notamment :
- les solutions de sauvegarde disponibles sur les différents serveurs en backup ;
- les firewall, antivirus, chiffrement à activer sur chaque ordinateur des salariés ;
- les procédures de cryptages devant être respectées ;
- les différents niveaux d’accès des salariés à certaines informations (permet de limiter par exemple les risques de fraudes telles que les fraudes au président par exemple) ;
- les cas de violations déjà subis, la manière dont ils ont été traités, qui a été touché, quelles solutions ont été mises en œuvre.
Il est également nécessaire de prévoir une grille d’évaluation des risques. Cette évaluation du risque va conditionner les obligations qui pèseront sur le responsable de traitement en cas de survenance d’une faille.
Enfin, les entreprises ne doivent pas hésiter à simuler des attaques fictives, tels que des tests de pénétration. Il est en effet bon d’avoir une procédure d’anticipation formalisée et encadrée mais encore faut-il s’assurer en pratique que la procédure sera à même de fonctionner en situation réelle.
Apprécier le risque lié à la violation
C’est là l’une des étapes les plus complexes et sensibles à gérer. Le responsable de traitement (ou son sous-traitant) devra après constatation de la violation, à la fois évaluer le niveau de gravité du risque tout en prenant les premières mesures destinées à le corriger.
Cette évaluation du risque doit se faire vite mais avec précision. C’est ce critère de gravité du risque qui va déterminer les obligations vis-à-vis du RGPD, à savoir :
- documenter la violation au sein d’un registre interne ;
- notifier la CNIL dans un délai maximal de 72h ;
- informer les personnes concernées dans les meilleurs délais, sauf exceptions.
Le responsable de traitement devra évaluer le risque selon trois grades :
- aucun risque ;
- présence d’un risque ;
- présence d’un risque élevé.
Cette évaluation du risque doit donc être effectuée rapidement car le responsable de traitement dispose seulement de 72h à compter de la connaissance de la violation pour la notifier à la CNIL en cas de risque avéré. Passé ce délai, il s’expose aux sanctions citées précédemment.
C’est alors un jeu d’équilibre qui s’ouvre entre l’appréciation du risque et la prise de décision pour notifier ou non la CNIL.
En l’absence de risque, le responsable de traitement n’a pour seule obligation que de documenter la faille au sein d’un registre des violations de données. Il n’aura pas d’obligation de notifier la CNIL. Rien ne sert alors de se précipiter et de notifier dès les premières heures suivant la découverte de la violation si des constatations plus poussées permettent de confirmer que la violation n’a eu aucune conséquence en termes de perte, divulgation et/ou altération des données.
Par exemple en cas de ransomware (ou rançongiciel) : lorsque l’entreprise parvient à prouver qu’aucune donnée n’a pu en réalité être exfiltrée ou consultée par l’attaquant car elles étaient déjà chiffrées par l’entreprise et qu’elle disposait par ailleurs d’une sauvegarde permettant de récupérer les données compromises par l’attaquant, alors aucun risque n’est avéré, l’entreprise n’a pas à notifier la CNIL.
À l’inverse, si l’entreprise tarde à évaluer le niveau du risque, outrepasse le délai de 72h, et découvre in fine la présence d’un risque avéré, elle s’expose aux sanctions.
C’est ici que réside l’intérêt de disposer d’une procédure complète et actionnable rapidement. Si les critères d’évaluation du risque sont déjà formalisés, l’évaluation du risque sera plus simple à réaliser.
Mais alors comment fixer ces critères ? Comment faire la différence entre l’absence de risque, la présence d’un risque et celle d’un risque élevé nécessitant de prévenir les personnes concernées par les données ?
La CNIL livre un certain nombre de critères à prendre en compte, mais précise bien que tout s’évalue au cas par cas.
Devront notamment être pris en compte :
- le type de violation : s’il s’agit d’une altération des données (affectant leur intégrité) ou bien d’une indisponibilité des données ou encore une atteinte à leur confidentialité ;
- le volume et la nature des données concernées (par exemple s’il s’agit de données personnelles sensibles) ;
- la facilité à remonter aux personnes concernées et à les identifier, les conséquences pour celles-ci et leurs caractéristiques (enfants, personnes vulnérables…) ;
-
les caractéristiques du responsable de traitement (son activité, son rôle…) : si par exemple, un hôpital se retrouve bloqué suite au vol de données de ses patients pendant un ou plusieurs jours, les conséquences vont au-delà de l’indisponibilité des données. Ce sont aussi des dizaines d’interventions qui devront être annulées et reportées. Le risque est alors élevé et doit faire l’objet d’une notification à la CNIL.
Quand notifier la violation ?
Lorsqu’une violation présentant un risque est constatée, le responsable de traitement doit notifier la CNIL dans les meilleurs délais.
Cette notification peut en réalité s’effectuer en deux temps :
- une première notification dans un délai de 72 heures maximum si possible suite à la constatation de la violation et du risque généré (si le responsable de traitement a laissé passer ce délai de 72 heures, il doit toutefois notifier la CNIL en expliquant les raisons de son retard) ;
- une notification complémentaire devant être effectuée lorsque la violation peut être documentée de manière plus précise, ainsi que pour toute découverte d'éléments supplémentaires.
Bon à savoir : si le risque est avéré mais que le responsable de traitement n’est pas en mesure de le quantifier précisément avant l’expiration du délai de 72 heures, il est tout de même recommandé d’effectuer une première notification auprès de la CNIL avant l’expiration du délai, quitte à revenir plus tard sur cette notification si le risque est corrigé entre temps. Mais à l’inverse, attendre trop longtemps et laisser passer ce délai de 72 heures alors qu’un risque est avéré, sera difficile à justifier auprès de la CNIL.
La notification auprès de la CNIL s’effectue auprès d’un téléservice dédié et sécurisé et s’accompagne d’un certain nombre de mentions, notamment :
- la nature de la violation ;
- les caractéristiques et le nombre approximatif de personnes concernées ;
- les caractéristiques et le nombre approximatif de fichiers et de données concernées ;
- les éventuelles conséquences de la violation ;
- les coordonnées de la personne à contacter au nom de l’entreprise et du responsable de traitement (par exemple le DPO) ;
- les mesures et actions prises pour corriger cette faille et à minima en limiter les conséquences.
Il est donc nécessaire pour le responsable de traitement d’avoir mis en place en amont les bonnes règles internes et accords permettant de collecter de telles informations, notamment si elles sont en possession de prestataires sous-traitants traitant les données pour son compte.
Enfin, lorsque le risque atteint le grade le plus élevé, le responsable de traitement devra répondre à toutes les obligations : documenter la violation, notifier la CNIL mais également informer les personnes concernées par la violation. Contrairement à la notification de la CNIL qui doit être réalisée rapidement, la notification des personnes concernées par cette violation ne doit pas se faire dans la précipitation.
Tout d’abord, parce que l’appréciation d’un risque élevé prend du temps.
Mais aussi parce que le RGPD n'impose pas de délai fixe pour notifier les personnes concernées, il préconise seulement une information dans les meilleurs délais.
Cette décision de notifier les personnes concernées doit rester réfléchie et implique de réunir beaucoup de parties prenantes au sein de l’entreprise : le service informatique, le service juridique, le service de communication…
Tout le monde doit être impliqué dans cette prise de décision et sur la manière de la délivrer.
Il faudra d’abord attendre que la violation soit corrigée (ce qui peut prendre plusieurs semaines), consulter les équipes internes afin d’apprécier le risque avec plus de précision encore et s’aligner sur la méthode à suivre pour informer les personnes concernées. Selon les cas, cette notification sera plus ou moins simple. Lorsque l’entreprise dispose des coordonnées de toutes les personnes concernées, il n’y aura a priori pas de difficulté particulière. En revanche, dans certains cas, les personnes touchées sont d’anciens clients, l’entreprise ne dispose plus de moyens de contact. Dès lors, le RGPD précise que la notification devra être effectuée par le biais d’une communication publique. Le message doit alors être mûrement réfléchi afin de limiter au maximum les répercussions sur la réputation de l’entreprise.
Documenter la violation
Que le risque existe ou non, qu’il soit élevé ou non, le responsable de traitement a toujours l’obligation a minima de documenter cette violation et être en mesure de livrer cette documentation à la CNIL en cas de contrôle.
Cette documentation doit répertorier la nature de la violation des données, ses effets et les actions prises par l’entreprise pour la corriger. Les mentions transmises à la CNIL lors de sa notification pourront être éventuellement reprises dans cette documentation.
Cette obligation de documentation s’inscrit elle aussi dans la lignée de l’obligation d’accountability du RGPD. Ce registre des violations des données pourra être réclamé par la CNIL en cas de contrôle.
Cela permet de plus à l’entreprise de conserver la manière dont les précédentes violations et failles de sécurité ont été gérées et ainsi pouvoir l’implémenter dans la procédure initiale d’anticipation : il s’agit ici d’un cercle vertueux.
Une question ? Laissez votre commentaire