Accueil > Politique de confidentialité

GESTION DES VIOLATIONS DE DONNÉES

 

 

Création du document
Version Date Contributeurs Rédigé par Approuvé par
V.0        
         
         
Historique du document
Version Date Etat Nature des modifications
V.0      
       
       

 

 

SOMMAIRE 

 

  1. Objet. 3
  2. Définitions. 3
  3. Notion de violation de données à caractère personnel 3
  4. Risques de sanctions. 4
  5. Obligations en cas de violation de données à caractère personnel 5
  6. Cadre juridique. 6
  7. Acteurs concernés. 6
  8. Procédure.. 7
  9. Identification et remontée de la violation.. 7
  10. Analyse de la violation et cellule de crise. 7
  11. Documentation sur la violation et analyse du risque. 8
  12. Notification de la violation à la CNIL. 10
  13. Communication aux personnes concernées. 11
  14. Bilan de la violation.. 12
  15. Traçabilité et archivage de la violation.. 12
  16. Vue d’ensemble.. 13
  17. Exemples de cas concrets. 13
  18. Cas réels remontés à la CNIL. 13
  19. Lignes directrices du comité européen sur la protection des données. 14

 

 

 

 

1.                Objet

 

Les articles 33 et suivants du règlement général relatif à la protection des données à caractère personnel (RGPD) imposent au responsable de traitement de mettre en œuvre des mesures pour documenter les violations de données à caractère personnel, notifier ces violations à l’autorité de contrôle et, le cas échéant, les communiquer aux personnes concernées.

 

A ce titre, le responsable de traitement doit mettre en place des mesures visant à prévenir toute violation de données et réagir de manière appropriée en cas de violation c’est-à-dire mettre fin à la violation et réduire les risques sur les personnes concernées.

Ce document décrit les obligations qui s’imposent au responsable de traitement en cas de violation de données à caractère personnel et les mesures mises en œuvre par la société LES FRENCHIES (ci-après désignée la « Société ») pour y répondre.

  1. Définitions
  2. Notion de violation de données à caractère personnel

 

La notion de violation de données à caractère personnel renvoie à la situation selon laquelle une faille de sécurité aurait des conséquences sur la perte de disponibilité, l’intégrité ou la confidentialité des données.

L’article 4 (12) du RGPD définit une violation de données à caractère personnel comme étant « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Concrètement, il s’agit d’un incident de sécurité ayant pour conséquence une atteinte à la confidentialité, à l’intégrité ou à la disponibilité des données.

 

Cela peut être par exemple :

  • l’envoi d’un courrier client à des mauvais destinataires
  • la perte ou le vol d’une clef USB qui contient des données sur des collaborateurs
  • l’exploitation d’une faille de sécurité entrainant l’accès à des données par une personne non habilitée à y accéder
  • un acte de malveillance (phishing, vol de matériel, fraude externe ou interne, accès frauduleux, manipulation de données, bombe logique, logiciels malveillants, défiguration de sites, etc.)
  • un accident (incendie, panne matérielle, séisme, etc.) entrainant une indisponibilité des données
  • un salarié soudoyé par un client qui enverrait le fichier clients de l’entreprise par courrier électronique
  • un cryptolocker qui rend indisponible les données

 

La violation est ainsi la concrétisation d’un risque, c’est-à-dire, un scénario hypothétique qui décrit un évènement redouté et toutes les menaces qui permettraient qu’il survienne.

 

  1. Risques de sanctions

 

Une violation de données entraine un risque de sanction administrative par l’autorité de contrôle (en France, la CNIL) à hauteur de 10 millions d’euros ou 2 % du CA mondial.

De plus, le risque est également pénal puisque l’article 226-17 du code pénal prévoit une peine de 5 ans d’emprisonnement et 300 000 euros d’amende en cas de non-respect de la sécurité des données (article 32 du RGPD), pour les entreprises, l’amende est d’1,5 million euros.

Une indemnisation du préjudice subi par les personnes concernées (atteinte à la vie privée) peut également être demandé devant le juge judiciaire civil (article 82 du RGPD).

Enfin, une action de groupe peut également être portée par des associations de consommateurs ou autres organismes pour réclamer des dommages et intérêts (article 80 du RGPD).

 

  1. Obligations en cas de violation de données à caractère personnel

 

En cas de violation de données, le responsable du traitement doit avant toute chose mettre fin à la violation (colmater la brèche) et documenter et analyser la violation.

Selon l’analyse, il conviendra, en cas de risque pour les droits et libertés des personnes physiques concernées, de notifier la violation à l’autorité de contrôle (en France, la CNIL) et, en cas de risque élevé sur les personnes, de communiquer la violation aux personnes concernées afin qu’elles puissent agir en conséquence.

 

  1. Cadre juridique

 

La gestion des violations est encadrée par les dispositions du règlement européen de protection des données personnelles[1] (ci-après « RGPD ») et de la loi informatique et libertés du 6 janvier 1978 modifiée[2].

 

Attention, d’autres cadres normatifs peuvent imposer des notifications aux autorités de contrôles (ePrivacy, eIDAS, NIS, Paquet Télécom, LPM).

 

  1. Acteurs concernés

 

Les acteurs concernés par cette procédure sont :

 

  • Délégué à la protection des données/référent RGPD le cas échéant
  • Responsable de la direction métier concernée
  • Les services métiers concernée par les traitements de données
  • Le service informatique

 

  1. Procédure

 

  1. Identification et remontée de la violation

 

L’identification des événements susceptibles d’être en lien avec un incident de sécurité repose sur la vigilance de chacun.

Une fois identifiée par toute personne susceptible de détecter l’incident, celui-ci doit être remonté via un canal de communication dédié : (o)

Dans la mesure du possible, il convient de tout mettre en œuvre pour faire cesser la violation.

 

  1. Analyse de la violation et cellule de crise

 

Cette étape consiste à s’assurer que la violation de données est avérée. Les 2 critères suivants doivent être remplis :

  • Une atteinte à la sécurité des données (intégrité, confidentialité, disponibilité)
  • Qui concerne des données à caractère personnel

 

Une fois la violation confirmée, une cellule de crise doit être montée. Celle-ci est constituée par les personnes suivantes :

  • La direction générale
  • Le RSSI
  • Le DPO/référent RGPD
  • Le responsable informatique

 

Un plan d’action est rapidement mis en place par la cellule de crise afin de colmater la faille de sécurité ou prendre les mesures les plus urgentes.

 

  1. Documentation sur la violation et analyse du risque

 

La violation doit être documentée dans le registre des violations de données.

La documentation doit inclure :

  • Faits concernant la violation
  • Effets de la violation
  • Mesures prises afin de remédier à la violation

 

Le risque engendré par la violation doit être analysé. En l’absence de risque, la violation est simplifiée consignée dans le registre des violations.

En cas de risque sur les droits et libertés des personnes concernées, il faut notifier à la CNIL.

En cas de risque élevé, il faut informe les personnes concernées.

 

L’analyse du risque doit se faire au regard de :

  • le type de violation (confidentialité ou disponibilité, par exemple)
  • la nature, sensibilité et le volume des données personnelles concernées
  • la facilité d’identifier les personnes et des conséquences pour les personnes
  • du volume et des caractéristiques de personnes concernées (enfants, personnes vulnérables, etc.)
  • les caractéristiques du responsable de traitement (nature, rôle, activités)

 

Exemples d’absence de risque :

  • suppression accidentelle de données sauvegardées et restaurées immédiatement,
  • Inaccessibilité temporaire de données en raison d’une opération de maintenance planifiée,
  • les données divulguées étaient déjà publiques,
  • les données ne sont plus accessibles sur le support numérique mais le sont en support papier (pas de perte de données).

 

  1. Notification de la violation à la CNIL

 

Cas du Sous-traitant :

 

En cas de violation en tant que sous-traitant, il faut informer le responsable du traitement (client) dans les meilleurs délais après avoir pris connaissance de la violation.

 

Cela signifie qu’une fois la violation documentée, celle-ci doit être notifiée au responsable de traitement dans le délai prévu par le contrat de sous-traitante (généralement, 24 heures maximum).

 

Cas du Responsable de traitement :

 

La notification doit être réalisée dans les meilleurs délais et au maximum dans les 72 heures à compter de la prise de connaissance. Le responsable du traitement est considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel. C’est-à-dire, dès que la violation est documentée (analysée).

 

La notification doit inclure :

 

  • Nature de la violation
  • Catégorie et nombre approximatif de personnes concernées
  • Catégorie et nombre d’enregistrements de données concernées
  • Nom et coordonnées du DPO ou d’un autre point de contact
  • Conséquences probables de la violation (imaginer le pire pour les personnes)
  • Mesures prises ou à prendre pour remédier à la violation ou pour en atténuer les conséquences

 

La notification peut être partielle et être communiquée de manière échelonnée, dans le cas où tous les éléments ne peuvent pas être remontés sous 72 heures (analyse en cours par exemple).

 

La notification doit être réalisée sur le formulaire électronique suivant :

 

https://notifications.cnil.fr/notifications/index

 

Il est recommandé, dans le doute, de notifier toute violation de données.

 

  1. Communication aux personnes concernées

 

En cas de risque élevé sur les personnes concernées (par exemple, mot de passe compromis), il faut informer les personnes concernées individuellement.

 

Le risque peut être analysé selon le tableau suivant :

 

 

 

Le niveau recommandé pour informer les personnes concernées est le niveau « important » et « Maximal ».

 

La communication doit inclure :

 

  • Nature de la violation
  • Nom et coordonnées du DPO ou d’un autre point de contact
  • Conséquences probables de la violation
  • Mesures prises ou à prendre pour remédier à la violation ou pour en atténuer les conséquences

 

Si cela nécessite des efforts disproportionnés, il faut faire une information générale (par exemple sur le site internet).

 

 

  1. Bilan de la violation

 

Un bilan de la violation peut être réalisé ainsi qu’un dépôt de plainte ou une déclaration de sinistre à l’assurance le cas échéant.

 

  1. Traçabilité et archivage de la violation

 

Toute action réalisée dans la gestion de la violation doit être documentée et conservée pour servir de preuve en cas de contrôle de la CNIL. Il convient de conserver une copie de chaque mail échangé permettant de prouver la chronologie des faits, des rapports d’incidents, des mesures prises etc.

 

A noter : la notification de la violation à la CNIL n’empêche pas la possibilité pour la CNIL de réaliser un contrôle et de prononcer des sanctions en cas de mauvaise gestion de la sécurité des données.

 

  1. Vue d’ensemble

 

 

 

 

  1. Exemples de cas concrets

 

  1. Cas réels remontés à la CNIL

 

Un hacker accède au code source d’un site internet et surcharge l’affichage du formulaire de paiement au niveau du checkout afin de récupérer les données bancaires saisies tout en laissant passer le paiement afin que ni l’utilisateur ni l’éditeur du site internet ne se rendent compte du vol

 

Un organisme traitant des données relatives à des personnes vulnérables se fait cambriolé et voler 15 ordinateurs portables. Les 12 ordinateurs les plus récents disposent d’un chiffrement intégral du disque dur mais pas les plus anciens qui, quant à eux, contiennent le plus grand volume de données

 

Des élèves d’un lycée privé usurpent le compte d’un enseignant et d’un technicien afin d’envoyer des messages dégradants à l’ensemble de l’établissement et d’altérer les notes, de façon positives ou négatives, d’élèves

 

Un organisme spécialisé dans le traitement de patients atteints d’une maladie grave omet de placer en copie cachée plus d’un millier de personnes lors de l’envoi d’une enquête.

 

 

  1. Lignes directrices du comité européen sur la protection des données

 

Exemple Notifier la violation à l’autorité de contrôle? Notifier la violation aux personnes concernées? Notes/recommandations
i. Un responsable du traitement a stocké une sauvegarde d’une archive de données à caractère personnel cryptées sur une clé USB. La clé est volée lors d’un cambriolage. Non Non Tant que les données sont chiffrées à l’aide d’un algorithme de pointe, que des sauvegardes des données existent, que la clé unique n’est pas compromise et que les données peuvent être restaurées en temps utile, cette violation peut ne pas devoir être notifiée. Si les données sont en revanche ultérieurement compromises, la notification est nécessaire.
ii. Un responsable du traitement assure un service en ligne. À la suite d’une cyberattaque sur ce service, des données à caractère personnel de personnes physiques en sont soutirées.

 

Le responsable du traitement n’a de clients que dans un seul État membre.

Oui, avertir l’autorité de contrôle en cas de conséquences probables pour les personnes concernées. Oui, avertir les personnes concernées en fonction de la nature des données à caractère personnel concernées et si la gravité des conséquences probables pour celles-ci est élevée.  
iii. Une courte panne de courant de quelques minutes dans le centre d’appel d’un responsable du traitement empêche les clients d’appeler ce dernier et d’accéder à leurs dossiers. Non Non Pas d’obligation de notifier la violation, mais l’incident doit être documenté en vertu de l’article 33, paragraphe 5.

 

Des registres appropriés devraient être tenus par le responsable du traitement.

iv. Un responsable du traitement est victime d’une cyberattaque au moyen d’un rançongiciel qui crypte toutes ses données. Aucune sauvegarde n’est disponible et les données ne peuvent pas être restaurées. L’enquête révèle que la seule fonctionnalité du rançongiciel était de crypter les données et qu’aucun autre programme malveillant n’est présent dans le système. Oui, avertir l’autorité de contrôle en cas de conséquences probables pour les personnes concernées, dès lors qu’il s’agit d’une perte de disponibilité. Oui, avertir les personnes concernées en fonction de la nature des données à caractère personnel concernées et des conséquences potentielles de la perte de disponibilité des données, ainsi que des autres conséquences probables. Si une sauvegarde avait été disponible et si les données avaient pu être restaurées en temps utile, il n’aurait pas été nécessaire de notifier la violation à l’autorité de contrôle ou aux personnes concernées dès lors qu’il n’y aurait pas eu de perte permanente de la disponibilité ou de la confidentialité. Toutefois, si l’autorité de contrôle prenait connaissance de l’incident par d’autres moyens, elle pourrait envisager de procéder à une enquête afin d’évaluer le respect des exigences de sécurité plus générales de l’article 32.
v. Une personne appelle le centre d’appel d’une banque pour signaler une violation de données. La personne en question a reçu le relevé mensuel d’une autre personne.

 

Le responsable du traitement procède à une courte enquête (c.-à-d. terminée sous 24 heures), établit, avec un degré de certitude raisonnable, qu’une violation de données à caractère personnel s’est produite et signale l’existence potentielle d’un défaut systémique impliquant que d’autres personnes sont ou pourraient être affectées.

Oui Seules les personnes concernées sont informées en cas de risque élevé et s’il est évident qu’aucune autre personne n’a été affectée. Si, après une enquête complémentaire, on s’aperçoit que davantage de personnes sont concernées, il convient de notifier cette évolution à l’autorité de contrôle et de prendre des mesures complémentaires afin d’informer les autres personnes concernées en cas de risque élevé pour celles-ci.
vi. Un responsable du traitement gère un marché en ligne et a des clients dans plusieurs États membres. Le marché en question est victime d’une cyberattaque et les noms d’utilisateur, les mots de passe et les historiques d’achat sont publiés en ligne par le pirate. Oui, informer l’autorité de contrôle chef de file si l’attaque concerne un traitement transfrontalier. Oui, dès lors que l’attaque pourrait engendrer un risque élevé. Le responsable devrait prendre des mesures, p. ex. en forçant la réinitialisation des mots de passe des comptes touchés, ainsi que d’autres mesures pour limiter le risque.

Le responsable du traitement devrait également tenir compte d’autres obligations de notification, p. ex. en vertu de la directive SRI en tant que fournisseur de service numérique.

vii. Une entreprise d’hébergement de sites internet agissant en tant que sous-traitant détecte une erreur dans le code qui contrôle l’autorisation utilisateur. En raison de ce défaut, n’importe quel utilisateur peut accéder aux informations de compte de n’importe quel autre utilisateur. En tant que sous-traitant, l’entreprise d’hébergement de sites internet doit avertir les clients concernés (les responsables du traitement) dans les meilleurs délais.

 

En partant du principe que l’entreprise d’hébergement de sites internet a mené sa propre enquête, les responsables du traitement concernés devraient être relativement certains de l’occurrence éventuelle d’une violation, et ils seront probablement considérés comme ayant « pris connaissance » une fois que l’entreprise d’hébergement (le sous-traitant) les en aura informés. Le responsable du traitement doit alors informer l’autorité de contrôle.

Si la violation est peu susceptible d’entraîner un risque élevé pour les personnes concernées, il ne sera pas nécessaire de la leur notifier. L’entreprise d’hébergement de sites internet (sous-traitant) doit également tenir compte d’autres obligations de notification (p. ex. en vertu de la directive SRI en tant que fournisseur de service numérique).

 

S’il n’existe aucune preuve que cette vulnérabilité a été exploitée chez l’un des responsables du traitement de l’entreprise, il se pourrait que l’incident ne soit pas soumis à l’obligation de notification, mais il est probable qu’il doive être documenté ou qu’il soit le signe d’une non-conformité à l’article 32.

viii. Une cyberattaque rend indisponibles les dossiers médicaux d’un hôpital pendant 30 heures. Oui, l’hôpital est tenu de le signaler à l’autorité de contrôle dès lors qu’un risque élevé pour le bien-être des patients et leur vie privée pourrait en résulter. Oui, informer les personnes concernées.  
ix. Des données à caractère personnel d’un grand nombre d’étudiants sont envoyées par erreur à une mauvaise liste d’adresses contenant plus de 1 000 destinataires. Oui, avertir l’autorité de contrôle. Oui, avertir les personnes concernées en fonction de la portée et du type de données à caractère personnel concernées ainsi que de la gravité des conséquences potentielles.  
x. Un courrier électronique de marketing direct est envoyé aux destinataires dans les champs « à:» ou «cc:», permettant ainsi à chaque destinataire de voir l’adresse électronique des autres destinataires.

 

Oui, il pourrait être obligatoire de le notifier à l’autorité de contrôle si un grand nombre de personnes sont touchées, si des données sensibles sont révélées (p. ex. une liste d’adresses de patients d’un psychothérapeute) ou si d’autres facteurs présentent des risques élevés (p. ex. le courrier électronique contient les mots de passe initiaux).

 

Oui, avertir les personnes concernées en fonction de la portée et du type de données à caractère personnel concernées ainsi que de la gravité des conséquences potentielles.

 

La notification pourrait ne pas être nécessaire si aucune donnée sensible n’est révélée et si seul un nombre limité d’adresses électroniques a été divulgué.

 

 

  1. Procédure de gestion en cas de réception de données dont la Société n’est pas destinataire

 

Dans les organisations, les cas de violations de données à caractère personnel se multiplient et des données dont on ne doit pas avoir connaissance peuvent s’imposer à nous. Cette procédure vise à identifier les cas où la situation est susceptible de se présenter et la conduite à tenir en cas de réception de telles données à caractère personnel.

1.    Les cas de divulgation de données

Le risque de divulgation de données à des tiers non autorisés est important. Toute personne est susceptible de recevoir des informations qui ne la concernent pas ou dont elle n’a pas à avoir connaissance.

Cette divulgation constitue une violation de données personnelles au sens de l’article 33 du RGPD et doit être traitée.

La divulgation peut être accidentelle ou volontaire (et donc délictuelle). Elle peut arriver dans les types de cas suivants :

  • Une banque diffuse par courrier ou par courriel des données bancaires à des mauvaises personnes
  • Un organisme gouvernemental diffuse accidentellement des données concernant un autre usager du service public
  • Un rapport médical est envoyé à la mauvaise personne par un organisme médical
  • Un courriel est adressé à la mauvaise liste de destinataires
  • Une clé USB comprenant des données personnelles est oubliée dans une salle de réunion ou de formation

D’autres cas peuvent être envisageables.

2.  Conduite à tenir

La première chose à faire est de s’assurer qu’on n’est pas destinataire des informations. Si tel est le cas, alors il convient :

  • Informer le DPO
  • Identifier le responsable du traitement des données (par exemple, l’émetteur du courriel) et l’en informer le plus rapidement possible. Ne pas attendre qu’il vienne vers vous.
  • Ne pas ouvrir le courrier ou les pièces jointes
  • Trouver un arrangement avec le responsable du traitement des données sur la conduite à tenir. Par exemple, supprimer le courriel de la boite mail et confirmer par écrit que le document est supprimé.
  • Ne pas essayer de trouver le responsable du traitement si cela conduit à traiter les données de manière plus approfondie que la simple lecture des éléments accessibles.
  • Ne pas partager le document/données avec d’autres personnes tierces

 

En conséquence, il est indispensable de suivre strictement cette procédure.

 

[1] Règlement (UE) 2016/679 du parlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée