Vous êtes le dirigeant d’une entreprise de la grande distribution, vôtre RSSI vous informe que malgré les mesures de sécurité mises en œuvre, l’entreprise est victime d’un vol massif de données clients. Vous avez conscience que c’est impactant pour votre entreprise mais heureusement les législations européennes et françaises, en matière de violation des données à caractère personnel, ne visent que les fournisseurs de communication électronique. Vous êtes épargnés d’un point de vue réglementaire… Certes, mais plus pour longtemps.
Le projet de règlement sur la protection des données destiné à remplacer la Directive 95/46/CE doit actuellement repasser devant la Commission et son adoption ne saurait tarder. Le règlement vise désormais toutes les organisations traitant des données à caractère personnel et en lien avec l’UE (territorial, résidents UE...).
Celui-ci impose notamment, que si les conséquences de la compromission de données, constituent un risque élevé pour les droits et libertés des personnes physiques concernées, l’organisation doit les informer au plus vite. Elle doit aussi en informer les autorités compétentes en matière de protection des données à caractère personnel. Pour ce faire plusieurs actions doivent être réalisées en étroite collaboration avec le du Data Privacy Officer (DPO) de l’organisation.
La qualification de l’incident
L’objectif est de déterminer si le risque est élevé pour les personnes concernées. Pour ce faire il convient en premier lieu de répondre à deux questions :
Les données volées rendent-elles les personnes concernées identifiables ?
Les personnes concernées peuvent-elles connaître des conséquences significatives voire irrémédiables (discrimination, vol/usurpation d’identité, perte financière, atteinte à la réputation) ?
A l’issue de cette première phase, si le risque est élevé pour les personnes concernées (données identifiables et conséquences majeures), il faudra procéder à la notification de l’autorité compétente et des personnes concernées.
L’organisation ne sera toutefois pas tenue de notifier les personnes concernées par la violation si :
Le responsable du traitement a mis en œuvre des mesures de protection technologiques appropriées rendant les données incompréhensibles à toutes personnes non autorisées à y avoir accès (ex : chiffrement) ;
Ou si la notification risque d’entrainer des mesures disproportionnées eu égard notamment au nombre de cas concernés ;
Ou si la notification risque de porter atteinte à un intérêt public important.
La notification de l’incident
Pour la notification à l’autorité en charge de la protection des données, la CNIL en France, l’organisation victime de l’attaque dispose d’un délai de 72 heures. Cette notification devra notamment comporter les éléments suivants :
La nature de la violation
Le nombre approximatif de personnes et des enregistrements concernés
La description des conséquences probables de la violation
La description des mesures prises
Pour la notification aux personnes concernées, celles-ci doivent aussi être averties sans retard injustifié. Trois éléments principaux doivent être communiqués : La nature de la violation des données à caractère personnel
Les mesures prises ou proposées pour remédier à la violation
Les recommandations afin d’atténuer les effets négatifs de la violation
Durant toute la gestion de la crise ainsi que durant la sortie de crise, le responsable du traitement doit alimenter puis conserver une trace documentaire de la violation des données à caractère personnel en indiquant son contexte, ses effets et les mesures prises pour y remédier. Ce document aura valeur juridique et pourra être opposable.
En parallèle à ces actions, la gestion de la crise comporte également une gestion technique de l’attaque, une campagne de communication de crise afin de sauvegarder la réputation, ainsi qu’une démarche judiciaire et assurantielle notamment si l’organisation a adopté une cyber-assurance.
Le rôle du DPO
En temps de crise, le Data Privacy Officer (DPO) pourra veiller à ce que les mesures adaptées et la notification à l’autorité de contrôle et aux personnes concernées soient réalisées. Il pourra par ailleurs effectuer toutes les procédures requises auprès de la CNIL ainsi que suivre le dossier. En outre, les relations entre le CIL et la CNIL déjà établies en amont de la crise permettent d’alléger les procédures.
L’existence du CIL dans les entreprises peut être ainsi un élément favorisant l’adoption de réponses adaptées en temps de crise et pouvant réduire le montant de la sanction administrative dans le cas où la responsabilité du responsable de traitement ou du sous-traitant est démontrée.