Les autorités de contrôle européennes précisent les modalités pour évaluer, prévenir et gérer les violations de données

Les

Le CEPD vient publier utilement des exemples d’évaluations de violations de données auxquelles peuvent être confrontés les organismes. Le projet de Lignes directrices, soumis à consultation publique, a pour objectif d’accompagner les organismes dans leur évaluation des risques.

Le 14 janvier 2021, le Comité européen à la protection des données (CEPD) a publié un projet de lignes directrices sur les exemples en matière de notification de violation de données (ci-après les « Lignes directrices »), soumis à consultation publique jusqu’au 2 mars 2021.

Les nouvelles Lignes directrices viennent utilement compléter les lignes directrices WP 250 sur la notification de violations de données à caractère adoptées le 3 octobre 2017, en apportant des exemples précis de violation de données, fondés sur les retours d’expériences accumulés par les autorités de contrôle depuis l’entrée en vigueur du RGPD.

Rappel : quelle obligation de notification pour le responsable de traitement ?

Pour rappel, le RGPD impose au responsable de traitement de documenter toute violation de données à caractère personnel et de la notifier à l’autorité de contrôle compétente (RGPD, art. 33) dès lors que la violation présente un risque pour les droits et libertés des personnes concernées. La violation doit également être communiqué aux personnes concernées lorsque la violation de données présente un risque « élevé » pour ces dernières (RGPD, art. 34).

Remarque : une violation de données étant définie par l’article 4, 12) du RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Si les Lignes directrices n’ont pas force obligatoire, elles sont toutefois contraignantes pour les organismes : il est possible de s’en éloigner mais il faut alors le justifier (CE, 19 juin 2020,  n° 434684, Lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion, paragraphe 9 « En rappelant la position du CEPD sur ce point, sans la faire sienne, la CNIL, qui ne s’est pas méprise sur la portée des recommandations du comité, n’a pas entendu leur donner force obligatoire »).

De plus, les obligations relatives à la gestion des violations de données et à leur notification doivent être prises très au sérieux, les manquements pouvant être sanctionnés notamment d’une amende administrative pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (RGPD, art. 82, 4. a)).

Que retenir de ces Lignes directrices ?

Le CEPD détaille de manière précise les critères d’évaluation des risques que présente une violation de données, en s’appuyant sur les violations de données les plus courantes auxquelles peuvent être confrontés les organismes.

L’objectif est d’aider le responsable de traitement, en fonction du type de violation auquel il fait face, d’une part à prendre la décision de notifier ou non la violation à l’autorité de contrôle compétente et, le cas échéant aux personnes concernées et d’autre part de détailler les mesures préventives ou correctives qui doivent être prises.

Pour cela, le CEPD adopte une approche en fonction des sources de risques (notamment externes, internes, humaine ou non, accidentelle ) et des menaces (rançongiciel, vol de données, credential stuffing, transmission accidentelle des données …) en apportant des indications sur l’évaluation du risque axée d’une part sur les impacts qui peuvent résulter de la réalisation du risque pour les personnes concernées et d’autre part sur les mesures techniques et organisationnelles mises en œuvre pour limiter le risque.

Ainsi, par exemple, un organisme victime d’un rançongiciel (ou « ransomware ») mais qui aurait mis en place un système de chiffrement et de sauvegarde efficace, ne sera, a priori, pas soumis à l’obligation de notification, sauf si l’indisponibilité des données a des impacts sur les personnes concernées, ce qui peut être le cas si l’attaque vise des données de patients, par exemple.

Précision : un rançongiciel est un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. […] Lors d’une attaque par rançongiciel, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible – définition fournie par L’ANSSI dans son Guide « Attaques par rançongiciel, tous concernés ».

Le CEPD ne se borne pas à réaliser une analyse des risques sur certains exemples de menaces mais liste également les mesures techniques et organisationnelles qui doivent être mises en œuvre pour prévenir les risques, ce qui implique que ces mesures de sécurité doivent être considérées – et mises en œuvre – par les organismes dans le cadre de leur obligation de sécurité (RGPD, art. 32).

Par conséquent, les indications fournies par le CEPD dans ce projet de Lignes directrices et doivent être prises en compte pour :

  • la formalisation d’une procédure de gestion des violations de données, qui doit être mise en place par l’organisme en prévision de la réalisation de violations de données ;
  • la réalisation des analyses d’impact – et notamment pour l’évaluation des risques en fonction des sources de risques, des menaces, des impacts et des mesures prises pour limiter les risques ;
  • la mise en œuvre de mesures de sécurité techniques et organisationnelles, en fonction des menaces auxquelles peut être confronté l’organisme.

Afin de prévenir au mieux une situation de violation de données, il est impératif de mettre en place une procédure interne à appliquer en cas d’incident de sécurité et de la documenter.

Les procédures de violation de données déjà mises en place devront être revues et, le cas échéant, adaptées afin d’intégrer les éléments fournis par le CEPD dans ces Lignes directrices.

Les étapes qui doivent être respectées en cas de violation de données :

  • Facebook
  • LinkedIn

Cabinet Vigo, Cabinet d’avocats au Barreau de Paris

Proposer une offre de job : https://graces.community/recruteurs/

Consulter les offres qui vous correspondent : https://job.graces.community/login

Partagez l’article sur les réseaux !

Articles récents :

fr_FRFrançais