En 2022, l’industriel Knauf a été victime d’une cyberattaque au cours de laquelle 20% des fichiers dérobés ont été publiés par les attaquants. Cet évènement récent démontre la vulnérabilité des organisations en matière de fuite de données, et ce, peu importe leur envergure. Qu’il s’agisse de cyberattaques sophistiquées ou bien de négligences internes, de tels incidents peuvent engendrer des conséquences désastreuses sur la réputation, les finances ou encore la confiance des clients d’une organisation. Face à cette réalité, il est essentiel pour les organisations d’adopter une approche proactive afin de réagir efficacement en cas de violation de données. Décryptage !
Violation de données à caractère personnel : rappels utiles
Qu’est-ce qu’une violation de données à caractère personnel ?
Conformément à l’article 4.12) du RGPD, une violation de données à caractère personnel implique un incident de sécurité ayant un impact sur des données à caractère personnel.
Selon cybermalveillance.gouv une violation de données à caractère personnel se caractérise par « l’accès ou la divulgation non autorisé d’informations personnelles détenues par un tiers. L’origine de la fuite peut être accidentelle ou malveillante, interne ou externe à l’organisation qui détient ces données. »
Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.
Quelles sont les conséquences d’une violation de données à caractère personnel ?
Pour les organisations, une violation de données présente des risques particulièrement élevés car elle peut entraîner des conséquences pour l’organisation, mais aussi pour les personnes concernées :
- Les personnes affectées par la violation de données peuvent subir des tentatives d’escroquerie, une atteinte à leur image ou leur réputation, des usurpations d’identité ou encore, du cyberharcèlement.
- Les organisations s’exposent aussi à plusieurs risques tels que :
- Un risque financier : Les professionnels sont tenus de respecter des règles strictes en matière de sauvegarde et d’utilisation de données personnelles selon l’article 33 et l’article 34 du RGPD. En cas d’utilisation inappropriée, une amende correspondant à 4% du chiffre d’affaires de l’organisation concernée est imposée. Ce montant peut être augmenté dans certaines circonstances.
- Un risque réputationnel : il est aussi compliqué de construire la réputation d’une organisation que de la maintenir intacte. Une violation de donnée est souvent médiatisée, ce qui risque d’altérer l’image de l’organisation concernée.
- Lire aussi : RGPD : quelles obligations s’appliquent à qui ?
Violation de données à caractère personnel : que faire en cas d’incident ?
Vous connaissez désormais les conséquences d’une violation de données dans une organisation mais quelle est la marche à suivre en cas d’incident ? Comme tout évènement néfaste pour une organisation, il est nécessaire d’agir avec calme et méthode.
Etape n° 1 : analyser les risques et les conséquences
En cas d’une violation de données, c’est le responsable de traitement qui est chargé d’analyser les risques et les conséquences pour l’organisation mais également pour les droits et libertés des personnes concernées. Pour ordonner sa réflexion il peut s’aider des questions suivantes :
- Dans quel contexte l’incident a-t-il eu lieu ?
- Quelle est la nature, la quantité et le niveau de sensibilité des données concernées ?
- Combien de personnes sont touchées ? Quel est leur niveau de vulnérabilité ?
- L’organisation a-t-elle la possibilité d’identifier les personnes concernées ?
- Quels sont les scénarios potentiels qui pourraient se produire à la suite de cet incident ?
Etape n°2 : informer
Une fois la situation analysée, le responsable de traitement est en mesure de prévenir adéquatement certains acteurs, en fonction du niveau de gravité de la situation.
Avec ou sans risque : l’obligation de documenter l’évènement en interne
Peu importe le niveau de gravité de la violation de données, le responsable de traitement doit documenter l’incident en interne dans un registre de violations de données dédié. Cette documentation doit consigner l’ensemble des faitsconcernant la violation de données. La CNIL a la possibilité de contrôler ce registre pour s’assurer du respect des obligations de l’organisation concernée.
La documentation de l’incident doit éclaircir les points suivants :
- La nature de la violation ;
- Les catégories et le nombre de personnes et d’enregistrements concernés ;
- Les conséquences possibles de la violation de données ;
- Les mesures prises pour faire face à la violation.
En cas de risque : l’obligation d’informer l’autorité de contrôle
Si la violation de données présente un risque, l’organisation dispose de 72 heures pour informer la CNIL de l’incident. Passé ce délai, l’organisation multiplie ses chances de sanctions et devra justifier des raisons du dépassement.
Le responsable de traitement doit ainsi transmettre :
- Les informations documentées en interne dans le registre de traitement (décrites ci-dessus) ;
- Le nom et les coordonnées du délégué à la protection des données (DPO) ou de toute autre personne à contacter.
En cas de risque élevé : des démarches particulières à effectuer
Si la violation de données présente un « risque élevé », le responsable de traitement a pour obligation d’informer les autorités mais également les personnes concernées. Pour ces dernières, la notification doit être complétée par des recommandations permettant d’atténuer les potentielles conséquences de la violation de données. Il peut s’agir par exemple du changement d’un mot de passe, de la vérification régulière de leur compte bancaire ou encore de la sauvegarde de leurs données sur un support personnel.
Etape n°3 : résoudre la crise
Après avoir informé les différentes parties, il s’agit de mettre rapidement en place toutes les mesures provisoires techniques et juridiques afin de contenir la violation de données. Pour cela, il est nécessaire de demander de l’aide à l’autorité de contrôle ou à un organisme professionnel agréé capable de gérer efficacement la situation.
Etape n°4 : renforcer ses mesures de conformité et de sécurité
La gestion d’une violation de données ne s’arrête pas une fois qu’elle est contenue. Bien au contraire ! Même si l’incident a pu être géré, une violation de données signifie que le système d’information de l’organisation présente des failles qui peuvent tout à fait être à l’origine d’une nouvelle violation. Pour assurer sa conformité sur le long terme et prévenir de nouvelles violation de données, il est donc impératif de sécuriser le système d’information de l’organisation, en s’entourant d’experts.
- Lire aussi : Intégrité des données : comment la garantir ?
Spécialiste dans la protection des données à caractère personnel, dposystem by Netsystem assure la mise en place et le maintien en continu de votre conformité. La première étape ? La réalisation d’un audit de conformité permettant d’évaluer vos traitements de données, et le chemin restant à parcourir pour assurer leur protection.
Par la suite, Netsystem vous propose un plan d’action adapté, afin de garantir votre conformité et de sécuriser votre système d’information. Nous vous proposons également un RSSI ou un DPO externalisé : ces experts en cybersécurité et protection des données vous assistent dans l’élaboration et le maintien de votre conformité et de votre sécurité sur le long terme. Et tout ça, grâce une approche complète, à la fois technique, organisationnelle et juridique. Vous souhaitez en savoir plus ? Contactez-nous !
