La gestion de crise relative à la violation des données à caractère personnel

Les articles 33 et 34 du RGPD imposent aux organismes publics et privés de prendre les mesures nécessaires pour prévenir une violation de données personnelles et assurer le respect des droits et libertés des personnes concernées. Cependant, le risque zéro n’existe pas en matière de violation des données personnelles et en particulier en matière de cyber sécurité. Les enjeux majeurs liés à ces violations sont leurs impacts potentiels sur la vie privée des individus et la réputation de l’entreprise.

La Robe numérique, vous livre les bonnes pratiques à suivre afin d’être prêt à affronter une gestion de crise relative à une violation des données personnelles.

Le RGPD contient un nombre conséquent d’attentes afin de renforcer la sécurité des données personnelles détenues et traitées par les organismes publics ou privés. Ces exigences les incitent à adopter de bonnes pratiques en renforçant les mesures de prévention et d’action en cas d’incident avérés.

Communément, appelée une faille, l’article 4.12 du RGPD définit une violation des données à caractère personnel, comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Toute règle de droit a principalement un usage coercitif : en prononçant les sanctions en cas de négligence intentionnelle. Cependant, le RGPD apporte aussi, un volet préventif à travers, le principe de « Privacy by design » qui impose la mise en place de mesures techniques préventives afin de restreindre dès la conception des projets, les risques de violation des données. Ce principe inclue notamment l’exigence de minimisation de la collecte des données mais également de l’accès à celles-ci.  Par ailleurs, il engendre également la réalisation d’analyses d’impacts sur la protection des données lorsque les traitements présentent un risque pour les droits et libertés des individus.

 Au-delà de l’aspect technique ou opérationnel des mesures préventives, l’implication des différents acteurs et services des organismes à tous les niveaux hiérarchiques, demeure essentielle en matière de prévention contre les violations de données personnelles.

En outre, la gestion de crise relative à la violation de données personnelles s’effectue en deux étapes, d’une part, la prévention en amont sur le plan opérationnel, qui consiste à s’assurer de la capacité de l’organisme à assurer la continuité de son activité, et d’autre part, une mise en œuvre des mesures correctives à la suite d’une violation des données.

 

1-      Les mesures préventives

1.1-            La continuité de l’activité

Que l’organisme soit une TPE, PME ou un grand groupe, la question de la continuité de son activité en tant de crise doit être prévue. En effet, les organismes doivent identifier des solutions de contournement envisageables en fonction de grands scénarios de risques, réfléchissant en termes d’impact du risque et non pas de cause. Dans le cadre de la formalisation d’un plan de continuité d’activités, l’objectif est d’être en capacité de réagir à un grand nombre d’aléas engendrant la même conséquence. Dans le cadre de la gestion d’une violation de données, quel que soit la cause, les impacts en termes de continuité d’activité sont :

-        la non-disponibilité des données (clients, prospects, salariés)

-        la non-disponibilité des systèmes d’informations.

Une réflexion est alors à mener soit par l’équipe contrôle interne, gestion des risques, soit directement par le Comité de Direction afin :

-        d’identifier les activités critiques pour lesquelles une interruption de service est inacceptable ;

-        d’identifier les outils et tiers impactant ces activités ;

-        d’identifier les personnes clés à mobiliser en cas de survenance d’un tel incident, appelés « cellule de crise » ;

-        d’identifier les procédures de gestion en mode dégradé de l’activité ainsi que les procédures de reprise de celle-ci permettant de réduire au maximum le délai d’interruption de l’activité concernée.

Ce plan de continuité d’activité intègre des procédures organisationnelles de gestion de l’activité, des procédures organisationnelles et techniques de reprise des systèmes d’informations ainsi que des procédures spécifiques relatives à la gestion de crise.

La préparation d’une telle documentation permet de limiter les impacts de la crise en réduisant le temps de réaction, cependant, pour s’assurer de la pertinence du dispositif identifier, il est important de pouvoir le tester lors d’exercice de gestion de crise.

1.2-           L’anticipation de la violation des données à travers la gestion des tiers

Dans le monde économique actuel, la gestion des données est très souvent sous-traitée par les Responsables de Traitement à des acteurs spécialisés dans leurs domaines (par exemple éditeur de CRM, gestion de la plateforme de paiements clients, …).

Les violations de données pouvant tout aussi bien impacter un des Sous-traitants du Responsable de traitement, la gestion de celles-ci doit avoir été prévue contractuellement. Le contrat de prestation doit comporter un certain nombre d’obligations, conformément aux attentes de l’article 28 du RGPD dont la notification des violations de données au Responsable de traitement dans des délais à définir mais lui permettant de respecter ses obligations de notification à l’autorité de contrôle. Le contrat doit également intégrer des éléments concernant le partage des responsabilités entre les différents acteurs impliqués dans le traitement en cas d’incidents.

Pour finir, le Responsable de traitement doit s’assurer, en amont de la contractualisation, du niveau de sécurité apporté par le Sous-traitant. Il est fortement recommandé d’annexer au contrat la liste des mesures de sécurité que le Sous-traitant s’engage à mettre en place.

2-      Le processus de la gestion de crise

2.1-         La constitution d’une cellule de crise :

La cellule de crise doit être mobilisée, conformément au dispositif de gestion de crise définie, dès l’apparition d’une crise liée à une violation de données. Cette cellule est composée d’acteurs clés au sein de l’entreprise, mobilisés en fonction de la nature de la crise et de leur domaine d’expertise. Il peut s’agir par exemple du Responsable de la Sécurité des Systèmes d’Information (RSSI), du Délégué à la Protection des Données (DPO), du Directeur juridique et du Directeur de communication.

Cette cellule définit le plan d’action à mettre en œuvre et permettant :

-        d’identifier le périmètre de la violation de donnée : quelles sont les données concernées, les personnes concernées ciblées ;

-        d’identifier les impacts potentiels sur les personnes concernées ;

-        d’identifier les impacts potentiels sur l’entreprise afin d’identifier les activités (critiques ou non) qui sont touchées par cette violation.

Une fois les premières informations compilées, la cellule de crise évalue les risques sur les personnes concernées. Pour ce faire, elle peut utiliser l’outil mis à disposition sur le site de la CNIL. A l’issue de cette cotation des risques, la cellule de crise décide s’il est nécessaire ou non de notifier la violation des données à la CNIL et aux personnes concernées.

La cellule de crise fait appel aux différents experts internes et externes en capacité de l’accompagner dans cette analyse des risques.

En parallèle, si la violation de données impacte une ou plusieurs activités critiques de l’organisme, la cellule de crise peut décider de déclencher le plan de continuité d’activité.

2.2-        La notification : un respect des obligations légales

L’article 33 du RGPD impose aux Responsables de traitement de notifier à l’autorité de contrôle (la CNIL), dans un délai de 72h à la suite de l’identification de la violation, dans le cas où il existe un risque pour les droits et les libertés des personnes. En cas d’un retard de notification, des motifs doivent être apportés afin de justifier ce dernier.

Ainsi, l’article 33 du RGPD exige que cette notification contienne à minima les informations suivantes : La nature des données (personnelles ou sensibles) ;

-        Les catégories et le nombre approximatif des personnes concernées ;

-        Le nombre approximatif des enregistrements des données personnelles ;

-        Les coordonnées du DPO auprès duquel les informations complémentaires peuvent être obtenues ;

-        Les mesures envisageables ou prises par le responsable de traitement afin de remédier ou atténuer l’impact de l’incident.

Dans l’hypothèse où l’organisme n’a pas la capacité de transmettre l’ensemble des informations au moment de la notification, celle-ci peut être complétée a posteriori.  

Les étapes de la gestion de crise relative à la violation des données à caractère personnel

L’article 34 du RGPD exige du responsable de traitement de notifier les personnes concernées dans le cas où la violation engendre un risque élevé pour leurs droits et libertés (par exemple, violation de données pouvant engendrer une usurpation d’identité par la volumétrie de données personnelles dérobées ou la sensibilité des données, risque de vol à la suite d’une violation impactant des données de carte bancaire, …). Cette communication doit faire apparaître en termes simples et clairs la nature de l’incident, les données concernées ainsi que les mesures techniques et organisationnelles mises en œuvre lors de la violation des données.

Toutes les violations, qu’elles nécessitent ou non une notification, doivent être inscrite au registre des incidents de l’organisme.

Pour conclure, une gestion de crise s’achève par la réalisation d’un retour d’expérience (REX), consistant à effectuer le bilan de l’expérience et à identifier les voies d’amélioration.

Le REX comporte une observation et une analyse de la crise, il consiste à identifier les causes et les conséquences ayant abouti à l’incident.

Le REX lié à la violation des données à caractère personnel, permet de renforcer la sécurité des traitements affectés, de réévaluer les risques liés aux traitements des données personnelles en mettant à jour les analyses d’impact si cela est nécessaire. Enfin, son objectif global est de tirer les enseignements sur la gestion de l’incident par la cellule de crise pour optimiser leurs actions dans le futur.

 

Toute l’équipe de La Robe Numérique se tient à votre disposition.

Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr

Par Justine Cabanis, pour le blog La Robe Numérique

Précédent
Précédent

Guide pratique pour créer votre objet connecté

Suivant
Suivant

La gestion de la mise en conformité au quotidien