GDPR (17) Que faire en cas de fuite de données ? (gestion des incidents)

22 décembre 2017

Dans les articles précédents, nous avons graduellement évoqué la prise de mesures adéquates pour protéger correctement les données à caractère personnel que vous traitez. Vous devez envisager les risques encourus, et prendre diverses mesures pour les éliminer, si possible ou, à défaut, les réduire. Vous faites appel à des sous-traitants ? Vous devez alors veiller à ce qu’ils soient aussi bien organisés que vous. Les choses peuvent toutefois mal tourner. Cet article traite les actions requises en cas d’incident.

Le terme « fuite de données », ou « data breach » en anglais, est utilisé pour toute situation impliquant la perte, la modification injustifiée ou la publication de données confidentielles, ou encore le fait que des données confidentielles se retrouvent entre de mauvaises mains. Le GDPR prévoit dans ce cas que le responsable du traitement des données à caractère personnel signale sans délai inutile les fuites de données pouvant constituer une atteinte à la vie privée des personnes concernées. Si le risque de dommage est important, les personnes concernées doivent également être averties.

Avant de m’engager dans une discussion quant au fait qu’il faille signaler ou non une fuite de données à la Commission de la protection de la Vie Privée, je souhaiterais d’abord me concentrer sur la gestion de l’incident à proprement parler. Votre première obligation, en tant que responsable et personne en charge du traitement des données, est d’éviter les incidents et d’en limiter autant que possible l’impact si vous n’avez pas pu les éviter.

La première préoccupation est de constater les incidents le plus vite possible. Plusieurs outils de réseau peuvent être utilisés à cet effet, afin de mettre en lumière un comportement anormal sur le réseau, de détecter des virus ou des malwares ou de filtrer le contenu. Des collaborateurs vigilants peuvent eux aussi constater et signaler des infractions. C’est la raison pour laquelle il est important d’organiser régulièrement des formations et des actions de sensibilisation pour le personnel, afin que chacun sache clairement quand une situation est anormale ou préoccupante. Il est également important que tous les collaborateurs sachent à qui faire appel en cas d’incident.

Deuxièmement, vous devez entreprendre dès que possible les démarches pour enrayer l’incident ou en limiter l’impact. Tous les collaborateurs doivent respecter plusieurs règles. S’ils trouvent des informations à un endroit inapproprié, ils doivent les supprimer ou en informer un responsable. Il peut s’agir de supports physiques, mais aussi de fichiers sur le réseau. Ils doivent également donner l’alerte s’ils rencontrent des étrangers non accompagnés dans une zone sécurisée. Et ainsi de suite. Si des alarmes indiquent un piratage ou une infection des systèmes, les gestionnaires de ces systèmes devront les examiner au plus vite et peut-être les désactiver de manière préventive.

En cas de doute, il est préférable d’arrêter un traitement ou d’empêcher le transport des données traitées jusqu’à ce que vous sachiez clairement s’il y a effectivement un problème, et dans quelle mesure les données traitées sont encore correctes. Cela permet souvent d’éviter qu’un incident ne se transforme en fuite de données. Tant que des données traitées à mauvais escient ne sont pas diffusées ou rendues publiques, il n’y a pas d’infraction, et donc pas d’impact. Au sens strict, il n’est pas encore question d’une fuite de données.

Ensuite, et éventuellement en parallèle, vous pouvez lancer une analyse des faits. D’une part, il faut établir la cause du problème. Vous pourrez ensuite réfléchir aux améliorations dans l’organisation, les systèmes ou les applications, et dans le mode de travail de vos collaborateurs, pour éviter que l’incident ne se reproduise. D’autre part, il faut examiner l’impact réel ou éventuel de l’incident. Y a-t-il des risques pour la confidentialité et l’intégrité des données ? S’agit-il (en partie) de données à caractère personnel ? Quelles peuvent-être les conséquences de cette infraction ? Dans de nombreux cas, il vous faudra du temps pour savoir quelle quantité de données a été impactée et combien de personnes sont concernées. Souvent, vous ne saurez pas non plus d’emblée s’il y a véritablement un risque d’impact, ni quelle peut être l’ampleur des dommages.

Ce n’est que lorsque vous aurez une réponse à toutes ces questions qu’il vous sera possible de faire le bon choix quant à la nécessité de signaler la fuite de données à la Commission de protection de la Vie Privée ou aux personnes concernées. Le quand et le comment de ce signalement seront abordés dans le prochain article.

Par ailleurs, chaque incident doit être consigné dans un registre interne. Qu’il s’agisse d’une véritable infraction ou d’un quasi-accident, il faut toujours analyser l’incident. Ces informations sont importantes pour évaluer les procédures et les directives existantes, et vérifier si les mesures prises offrent une protection suffisante contre les risques éventuels. Les causes d’un incident doivent être consignées, au même titre que les actions visant une amélioration. En assurant un suivi systématique, vous améliorerez systématiquement la sécurité de votre organisation.

Dans les cas extrêmes, une fuite de données peut être catastrophique. Une organisation peut être confrontée à des problèmes de communication dantesques suite à une fuite de données très sensibles à propos d’un grand nombre de personnes. Il arrive que la fuite de données sorte des murs de l’organisation et que la presse en soit informée. En pareil cas, il est bon de pouvoir retomber sur des scénarios de communication de crise préalablement établis. Si votre organisation est couverte par une assurance couvrant les risques de cyber-sécurité, votre compagnie d’assurance devrait pouvoir vous aider.

Si vous soupçonnez que l’incident est d’origine criminelle, vous devez veiller à constituer un dossier juridique à temps. Il est parfois important de réaliser un back-up rapide des systèmes au moment de la découverte de l’incident ou de conserver les fichiers log, avant que ces informations ne soient perdues ou modifiées par les démarches entreprises pour résoudre l’incident. Il est évident qu’une telle étape ira parfois à l’encontre de ce qu’il convient de faire rapidement pour limiter le problème existant. Si la police ou la justice intervient, ne perdez jamais de vue ce que vous pouvez et ne pouvez pas faire de votre propre chef, surtout si vous êtes en charge du traitement des données. Faites appel au responsable dès que possible. Si les autorités vous obligent à fournir des informations, vous devez toujours veiller à les protéger au mieux et à ne pas exposer de données (par exemple d’autres personnes concernées) si cela n’est pas nécessaire à l’enquête.

Il est judicieux de bien documenter ces démarches successives, afin que chacun dans l’organisation les connaisse et agisse en fonction. Cela peut également s’avérer utile pour démontrer que vous prenez le respect des obligations du GDPR très au sérieux.

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING