Violation de données, doit-on communiquer ?

21 Oct 2019

Profil de DPO

Les fuites, la perte, la destruction ou encore l’accès aux données à caractère personnel par les cybercriminels ne datent pas d’hier, et le Règlement Général sur la Protection des Données (RGPD) n’a pas la prétention ni le super pouvoir de les arrêter net. En revanche, le RGPD impose un certain nombre de mesures organisationnelles et techniques pour garantir la confidentialité, l’intégrité et la disponibilité des données à caractère personnel pour réagir au plus vite lorsque ces incidents arrivent.

Le risque zéro n’existe pas

C’est ce qui est arrivé au site de recherche d’emplois Monster.com ou encore Option Way qui, en ce retour de période estivale, ont été victimes d’un piratage des données à caractère personnel de milliers d’internautes. Si les sites réagissent immédiatement, Monster.com semble avoir concentré ses efforts dans la mise hors ligne du web-serveur non sécurisé sur lequel étaient déposées toutes les données volées, faisant abstraction d’une action, pourtant obligatoire, en l’espèce.

La CNIL fait en effet référence à trois actions en cas de violation des données : la formalisation d’une documentation interne qui sera placée dans le registre des violations, la notification de la violation à la CNIL et l’information aux personnes concernées. Celles-ci sont obligatoires ou non en fonction du risque encouru par les personnes concernées. Or pour Monster.com, ce n’est que lorsque la presse a divulgué la nouvelle, que l’entreprise s’est défendue qu’elle n’était pas soumise à cette obligation d’informer, étant une plateforme américaine. Or, il semble peu probable que ce site de recherche d’emploi ne détienne pas une seule donnée sur quelques résidents de l’Union européenne, auquel cas le RGPD et ses exigences en matière de notification s’appliquerait. Nous pouvons également penser que le risque qui pèse sur les personnes concernées est élevé ; le fait de postuler ailleurs est généralement que peu apprécié par l’employeur actuel et peut être source de représailles.

Conclusion, Monster.com aurait dû avertir ces utilisateurs. Mais avant de jeter la première pierre, êtes-vous certain que vous auriez eu le bon comportement ? Ne nous le cachons pas, il est souvent difficile d’admettre, en tant qu’organisation que nous avons failli à notre tâche dans la protection des données à caractère personnel qui nous sont confiées.

Les bonnes pratiques en cas de violation des données

Le RGPD et la CNIL décrivent les obligations du responsable de traitement et du sous-traitant lorsque ces événements, d’origine accidentelle ou illicite, surviennent. En effet, il est obligatoire pour le responsable de traitement mais aussi pour le sous-traitant (si celui-ci en reçoit instruction formelle prévue explicitement dans le contrat de sous-traitance) de notifier auprès de l’autorité de contrôle, au plus tard dans les 72h après avoir pris connaissance de la violation.

Le point cependant qu’il ne faut pas négliger est cité à l’article 34 du RGPD qui dispose que lorsqu’une violation est « susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique » le responsable de traitement doit obligatoirement communiquer dans les meilleurs délais auprès de cette personne, en des termes clairs et simples. Cependant, la question reste entière pour les responsables de traitement : à partir de quand un risque est-il “élevé” pour les droits et libertés d’un individu ?

Comment analyser la gravité d’une violation ?

En effet, c’est en déterminant la gravité de la violation, que la communication aux personnes concernées se verra être une obligation ou seulement une recommandation pour le responsable de traitement.

La démarche partirait de l’étude des causes et de l’origine de l’incident, pour ensuite examiner la chronologie des événements et l’analyse des risques de la violation sur les données et sur les droits et libertés des personnes concernées. Enfin, en établissant un rapport sur les mesures de sécurité présentes avant et après l’incident, le responsable de traitement sera à même d’évaluer si le niveau de gravité de l’incident est négligeable, limité, important ou maximal. Ce n’est que lorsque les deux plus haut niveau de gravité sont atteints, que la communication aux personnes concernées est obligatoire.

Reprenons l’exemple d’une fuite de données, certes de données non sensibles mais du moins suffisamment importantes pour pouvoir lancer au niveau mondial des opérations de phishing (données contenues sur un CV : numéro de téléphone, adresse postale et mail). Dans ce cas-là, l’analyse de risque de la violation aurait aidé à déterminer si la communication aux personnes concernées était dans ce cas précis, une obligation du responsable de traitement ou seulement une recommandation.

Concrètement, comment informer les personnes concernées ?

L’information peut prendre la forme d’une lettre résumant les étapes précédemment énumérées ainsi que les mesures de sécurité conseillées et chaudement recommandées (changement de mots de passe, vérification des informations renseignées sur le profil, etc.) Si vous êtes clients d’Adequacy, n’oubliez pas que des modèles de lettre sont préchargées dans la solution.

La précipitation, le silence ou encore la dissimulation lors d’une violation de données, sont autant de fausses bonnes idées. C’est surtout prendre le risque de perdre la confiance de vos clients, partenaires et même collaborateurs envers votre organisation. Si le RGPD impose une certaine transparence des responsables de traitement, la question d’aller au-delà de l’obligation légale se pose. Ainsi, à la lecture des retours de Qwant vis-à-vis de ses difficultés d’indexations, on ne peut que constater la bienveillance des utilisateurs quand les organisations assument leurs défauts et leurs responsabilités.