GDPR (18) Que faire en cas de fuite de données – Obligation de notification

29 décembre 2017

Lorsqu’une fuite de données est constatée, la première préoccupation est d’en limiter l’impact autant que possible. C’est ce dont nous parlions dans notre dernier article. Indépendamment de cela, le GDPR exige qu’en tant que responsable du traitement des données, vous signaliez sans délai aux autorités compétentes toute fuite de données présentant un risque d’atteinte à la confidentialité des données. Si le risque est élevé, les personnes concernées doivent être informées elles aussi.

Cette obligation suscite de nombreuses questions. Quand un incident relatif à la sécurité des informations est-il effectivement une fuite de données ? Quand une fuite de données présente-t-elle un risque d’atteinte à la vie privée ? Quand est-il question de risque accru de dommage ? À partir de quel moment êtes-vous informé, et de combien de temps disposez-vous pour le signalement ?

Si l’incident touche des données à caractère personnel, avertissez d’office votre Data Protection Officer. Si votre organisation ne dispose pas d’un DPO officiel, une personne doit en tout cas endosser ce rôle. C’est en effet le DPO qui est le mieux à même de déterminer le poids des données et l’impact qu’une atteinte pourrait avoir pour les personnes concernées et pour le responsable du traitement (votre organisation ou peut-être votre client, si vous traitez les données pour quelqu’un d’autre). Le DPO conseille l’organisation quant à la communication à mettre en œuvre. Il est le mieux placé pour décider de la nécessité d’une déclaration à la commission de protection de la vie privée, et des informations à transmettre.

Les trois questions suivantes peuvent vous aider à déterminer si une déclaration est nécessaire :

  • Y a-t-il effectivement une fuite de données ? Si un incident comportait un risque de fuite sans qu’aucune donnée n’ait été rendue publique ou ne se soit retrouvée entre de mauvaises mains, cela reste un incident. Consignez-le dans votre liste interne d’incidents, mais une déclaration n’est pas nécessaire.
  • Il n’y a vraisemblablement aucun risque ? Si les données se sont retrouvées en dehors des zones sécurisées ou de votre organisation, il est toujours possible que grâce aux mesures de protection, il n’y ait aucun risque. Les données peuvent par exemple être correctement cryptées, et ne pourront donc pas être utilisées par des étrangers.
  • Le risque de dommage immédiat pour les personnes concernées est-il important ? En cas de fuite de données concernant des cartes de paiement, le risque de dommage financier est réel et les personnes concernées doivent être averties aussi vite que possible afin de pouvoir prendre des mesures. Cela peut également être le cas avec d’autres types de données sensibles. S’il s’agit par contre de données triviales, il est moins urgent d’en informer tout le monde. Le GDPR fait preuve de compréhension pour les situations dans lesquelles il est pratiquement impossible d’informer personnellement toutes les personnes concernées. Dans ce cas, une communication publique suffit.

Le GDPR définit en outre les informations devant être communiquées dans la déclaration :

  • Une description de l’atteinte, avec si possible mention du type de personnes concernées et des catégories de données
  • Si possible, le nombre approximatif de personnes concernées
  • Les coordonnées de contact du DPO ou de la personne de contact pour la confidentialité des données chez vous
  • Les conséquences potentielles de l’atteinte
  • Les mesures prises par l’équipe en charge de l’incident pour en limiter l’impact

Certaines parties de ces informations ne sont sans doute pas connues immédiatement et ne sont constatées qu’au terme d’une analyse plus approfondie. Le GDPR stipule également que la déclaration ne doit être « immédiate », mais bien « sans retard inutile ». La norme étant dans les 72 heures qui suivent la constatation de la fuite de données par le responsable. Moyennant une bonne motivation, la déclaration peut également se faire passé ce délai. Les informations sur l’atteinte peuvent par ailleurs être complétées après la première déclaration.

Si vous n’êtes pas le responsable mais intervenez en sous-traitance, vous devez être particulièrement vigilant en cas de fuite de données. Vous risquez en effet d’outrepasser votre propre champ de responsabilité et de devoir endosser une plus grande responsabilité. La plupart des contrats de traitement stipulent de ce fait clairement qu’un sous-traitant en charge du traitement qui constate une fuite de données doit immédiatement contacter le responsable et ne communiquer en aucun cas directement avec la commission de protection de la vie privée ou les personnes concernées. Il est également préférable de laisser la communication avec la presse au responsable. Le législateur prévoit que le responsable dispose, dans des conditions normales, de 72 heures. Mais on expecte que le sous-traitant contacte le responsable dès que possible. Cela permet à ce dernier de prendre immédiatement ses responsabilités. Les contrats imposent souvent au sous-traitant de réagir dans les 24 heures, bien que la loi fasse état de 72 heures.

Il ne sera pas toujours facile de déterminer quelle communication et quelles notifications sont nécessaires. Ne pas signaler une fuite de données est punissable, et le responsable s’expose à des amendes pouvant être potentiellement très élevées. D’autre part, l’aperçu des notifications de fuites de données est une information publique. Aucune entreprise n’a envie d’y être mentionnée, surtout s’il s’avère par la suite qu’il n’était pas vraiment question d’une fuite de données ou que les données étaient tellement bien protégées qu’il n’y a pas eu de risque de dommage. Avant que cela soit tiré au clair, votre image peut en avoir pris un fameux coup. À l’inverse, aucune organisation ne veut avoir la réputation de vouloir dissimuler ou étouffer les problèmes graves. À cet égard, l’ouverture et la transparence sont toujours préférables. Nous devons sans doute nous attendre à des directives des autorités visant à mieux délimiter les cas où une notification est indiquée ou non. Les spécialistes de la protection de la vie privée s’inquiètent également du risque qu’en cas de doute, des entreprises ne fassent une notification trop rapide pour éviter des amendes, et que de ce fait, les autorités soient submergées de notifications impossibles à contrôler et à traiter. Cela s’est par exemple produit à l’origine aux Pays-Bas, où cette obligation de notification est imposée par la loi nationale depuis déjà un certain temps.

Ma recommandation est de consigner systématiquement chaque incident dans la liste interne d’incidents, ce qui constitue par ailleurs une obligation du GDPR. Mentionnez-y les faits constatés, les conséquences et les mesures correctrices prises. Vous pouvez également y documenter l’argumentation en vertu de laquelle vous ne faites pas de notification ou n’informez pas les personnes concernées. Vous pourrez ainsi par la suite démontrer qu’un incident a bien été remarqué et que des mesures adéquates ont été prises. Un tel suivi contribue d’ailleurs grandement à l’amélioration de vos procédures et mesures de protection.

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING