Le contact entre économie numérique, cybercriminalité et RGPD crée un risque nouveau pour les entreprises : la violation de données personnelles.
I. La recrudescence des cyberattaques, un risque pour les organismes au sens du RGPD
En 2021, 2 entreprises sur 3 ont subi une tentative de cyberattaque. Or, si de nombreuses tentatives en restent à ce stade, certaines finissent par se transformer en intrusions particulièrement dommageables. Ainsi, sur la même année, plus de 173 000 demandes d’assistance ont été faites sur la plateforme cybermalveillance.gouv.fr à la suite d’incidents de sécurité informatique.
Or, si le RGPD impose aux organismes de protéger les données personnelles qu’ils traitent, que se passe-t-il lorsque ces dernières font l’objet d’une intrusion réussie ?
Un exemple vient de nous en être donné le 23 septembre dernier, lorsque les hackers à l’origine de la cyberattaque ayant récemment visé le Centre Hospitalier Sud-Francilien ont publié sur internet les données dérobées. Dans la mesure où ont été diffusées les numéros de sécurité sociale et résultats d’examens médicaux d’un certain nombres de patients, il s’agit là d’une violation de données dites « sensibles ».
II. La violation de données au sens du RGPD
Selon le RGPD , une violation de données personnelles est une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
On envisage donc 2 cas de figure : une violation est caractérisée dès lors que la confidentialité ou l’intégrité des données est atteinte.
En matière de confidentialité, tant un accès par intrusion qu’un envoi malheureux au mauvais destinataire constituent une de données.
L’intégrité des données, quant à elle, peut être violée de deux manières : l’altération ou la destruction. Ainsi, la destruction accidentelle du support de stockage (cf OVH) ou la modification non-autorisé par un assaillant constituent toutes deux une violation de données
Au vu de la démultiplication actuelle de l’usage du numérique, accompagnée de son lot de cyberattaques, les violations de données sont aujourd’hui une menace omniprésente pour tout organisme traitant des données personnelles.
Or, depuis 2018, une mauvaise réaction face à cet événement est sanctionnable en vertu du RGPD. Les amendes administratives peuvent ainsi s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
III. Comment réagir lorsqu’une violation de données est découverte
Dans un premier temps, il convient de réagir comme face à tout incident de sécurité : endiguer et analyser.
Les mesures d’endiguement, d’une part, dépendent de l’origine de la violation. En cas de cyberattaque, il convient de déconnecter les machines du réseau pour empêcher toute exfiltration. Selon les cas, il peut être utile de les laisser sous tension afin de pouvoir mieux analyser plus tard les moyens d’intrusion employés. En cas de fuite accidentelle cependant, il convient de prévenir urgemment le destinataire de ne pas ouvrir ou partager le fichier transmis.
L’analyse, d’autre part, permettra de déterminer les prochaines actions à effectuer. Il s’agit alors d’identifier quelles sont ses causes (vulnérabilités logiques, erreur humaine..) et son étendue (quelles catégories de données ont été atteintes, dans quelle quantité..).
Au terme de l’analyse, et dans un second temps, il convient de remédier et de notifier.
La remédiation consiste en l’adoption de mesures techniques, physiques et organisationnelles de natures à empêcher que la violation ne se reproduise. Par exemple, en cas de suppression involontaire, on peut imaginer des sauvegardes régulières sur un second support ou une mise en garde de l’utilisateur au moment de supprimer des données. En cas d’intrusion externe sur un système d’information, on peut imaginer mise en place de pares-feux supplémentaires, de proxys « sandbox » ou simplement de séances de sensibilisation des collaborateurs.
Enfin, arrive l’étape des notifications. On en distingue 3 types : aux entités sectorielles, à la CNIL, et aux personnes concernées.
Les entités sectorielles à notifier en cas de violation de données dépendent de l’organisme atteint. S’il s’agit d’un Opérateur d’Intérêt Vital (OIV), Opérateur de Services Essentiels (OSE) ou Fournisseur de Services Numériques (FSN), l’ANSSI doit être prévenue au plus tôt. S’il s’agit d’un établissement de santé, comme dans le cas du CHSF, l’Autorité Régionale de Santé (ARS) compétente doit être notifiée.
La CNIL, quant à elle, doit impérativement être prévenue dans les 72h suivant la prise de connaissance de la violation si la cette dernière génère un risque pour la vie privée des personnes concernées. Inutile donc si l’ordinateur contenant les données est détruit dans un incendie, mais absolument nécessaire s’il est volé lors d’un déplacement, par exemple.
De même, en cas de risque élevé, ce sont les personnes concernées elles-mêmes qui doivent être notifiées. C’est notamment l’obligation qui s’impose aujourd’hui au CHSF évoqué en début d’article, dont les données ont été publiées sur internet.
La sécurité informatique infaillible n’existe certes pas, mais il est toujours possible d’y réagir de manière optimale.
