Quels réflexes avoir en cas de fuite de données ?

L’une des nouveautés introduites par le RGPD est l’obligation pour les entreprises de notifier les violations de données qu’elles subissent. Quels sont les contours de cette nouvelle obligation et quels réflexes avoir ?

Quand parle-t-on d’une violation de données ?

La définition est très large. Tout incident, accidentel ou malintentionné, qui altère les données ou leur confidentialité, ou encore qui les rend indisponibles est une « violation de données ». On pense au hacking et notamment aux cas de ransomware qui ont paralysé l’activité de nombreuses entreprises à travers le monde. Mais les hypothèses visées par le RGDP ne se limitent pas à cela. L’accès à certains dossiers par un employé non autorisé rentre aussi dans cette définition, tout comme la simple perte d’une clé usb par un employé.

gdpr-reflexes-casdefuitedonees-artikel

Dans quels cas devra-t-on porter l’incident à la connaissance de l’Autorité de protection des données ?

La brèche de sécurité devra quasiment toujours être signalée à l’Autorité de protection des données (APD). L’ensemble du personnel doit dès lors être conscientisé pour identifier ce qui constitue une violation de données et ainsi avoir le réflexe de signaler un tel incident au délégué à la protection des données. Plus fondamentalement, elle pourra s’inspirer de la recommandation de l’autorité belge pour tenter d’éviter ce genre d’incident.

C’est uniquement si l’incident n’engendre aucun risque, même léger, pour les personnes dont l’entreprise traite les données que cette notification pourra être évitée. Les risques peuvent être de différents types : perte de contrôle sur leurs données à caractère personnel, dommage physique ou matériel, discrimination, usurpation d'identité, perte financière, atteinte à la réputation…

Il faut donc qu’il n’en résulte pas d’indisponibilité ni d’altération des données, ni de leur confidentialité. Aucune notification ne devra ainsi avoir lieu en cas de perte d’une clé usb suffisamment chiffrée, si l’entreprise dispose toujours d’une copie des données perdues. L’entreprise a donc tout intérêt à réfléchir à cet aspect lorsqu’elle envisage le niveau de sécurité à appliquer à ses données.

Les personnes dont les données sont impactées devront-elles aussi être prévenues ?

Si la notification à l’autorité de contrôle doit avoir lieu dès qu’il y a un risque pour les personnes concernées, ces dernières ne doivent quant à elles être prévenues que si elles courent un risque élevé. L’entreprise pourra évidemment demander à l’APD si elle considère qu’il y a un risque élevé ou non. En tout état de cause, elle devra documenter les éléments qui l’ont amenée à considérer qu’il ne fallait pas notifier l’incident aux personnes impactées, conformément au principe d’accountability.

Si une communication individuelle demande des efforts disproportionnés, elle peut être remplacée par une communication publique. Ce sera aussi le cas si les données de contact ont disparu à la suite de l’incident et qu’il n’est plus possible de joindre individuellement les individus impactés.

Dans quel délai ?

Le responsable du traitement dispose de 72 heures pour la signaler à l’Autorité de protection des données. Il ne s’agit pas de 3 jours ouvrables, mais de jours « calendrier ». Tout retard devra être justifié.

À partir de quand commencent à courir ces 72 heures ? Dès que le responsable du traitement prend conscience de la violation de données : lorsqu’il s’aperçoit de la perte d’une clé usb ou d’une intrusion dans son système, lorsqu’un tiers lui signale avoir reçu des données qui ne lui étaient pas destinées, lorsque son sous-traitant l’informe, etc.

Que doit contenir la notification ?

Il n’y a pas de modèle de document à employer obligatoirement. À ce jour, l’autorité belge n’a pas encore adapté le formulaire qu’elle propose actuellement aux entreprises de compléter sur une base volontaire. Les autorités française et luxembourgeoise ont quant à elles mis des documents à disposition, dont les entreprises peuvent s’inspirer. De lignes directrices ont également été publiées au niveau européen.

L’information à fournir à la APD devra porter au minimum sur :

  • la nature de l’incident, le type et l’ampleur des données touchées et des personnes concernées,
  • les conséquences probables de l’incident,
  • les mesures déjà prises ou envisagées pour remédier à l’incident et limiter ses conséquences négatives.

Si l’entreprise a désigné un délégué à la protection des données, ses coordonnées de contact devront être mentionnées. Si un sous-traitant est à l’origine de l’incident, il peut être utile de l’identifier, surtout si l’incident pourrait toucher d’autres clients de ce prestataire.

De plus, lorsque l’entreprise informe les personnes concernées, elle devrait leur conseiller les précautions à prendre pour limiter les conséquences de l’incident (par exemple changer leur mot de passe sur d’autres plateformes, s’il est le même que celui touché par l’incident).

Il sera bien entendu plus facile de respecter le délai de 72 heures dans une telle situation de crise si l’entreprise s’est préparée à cette éventualité en rédigeant un projet de notification.

Sanctions ?

L’APD pourra bien entendu ouvrir une enquête à la suite d’une violation de données. Son investigation ne sera pas limitée à la brèche de sécurité, mais pourra viser l’ensemble de la mise en conformité avec le RGPD. Elle pourrait aboutir à la décision d’infliger une amende administrative. Une telle amende pourra aussi être infligée si la fuite est notifiée trop tard ou de façon incomplète. À côté de l’enquête effectuée par l’APD, les victimes d’une violation du RGPD pourraient également se tourner vers la justice pour réclamer la cessation d’un traitement illégal ou l’indemnisation de leur préjudice. Ces questions ont été examinées précédemment.

Cependant, l’enjeu pour les entreprises n’est pas tant d’éviter des sanctions financières que de préserver la continuité de leur activité face à un incident et d’éviter d’être épinglées comme mauvais élève. Pour ce faire, les bons réflexes à adopter sont donc :

  • de sécuriser suffisamment les données, d’une part pour éviter les incidents et d’autre part pour éviter qu’un incident présente un risque élevé, qui impliquerait une notification à ses clients,
  • de conscientiser le personnel, pour éviter les incidents et, s’ils surviennent malgré tout, pour que le personnel sache immédiatement qui avertir,
  • d’établir une procédure afin de réagir correctement et rapidement, en documentant ses actions,
  • de roder cette procédure par une simulation.

 

 

Fanny COTON

fanny-coton

Fanny COTON est une collaboratrice senior du cabinet d’avocat LEXING. Avocate du barreau de Liège depuis 2006, elle est spécialiste en droit de la vie privée. Elle conseille couramment des entreprises et des administrations au sujet de traitements de données à caractère personnel. Elle est l’auteur de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du Règlement général sur la protection des données.

 

 

  374