Le 3 février 2022, le Comité Européen de la Protection des Données (CEPD) publiait les lignes directrices destinées à aider les responsables de traitement à répondre à leurs obligations et à déployer les réactions adaptées en fonction de chaque situation. Simon de Charentenay, CEO de MonJuridique.Infogreffe nous livre son expertise sur le sujet
Aider les entreprises à anticiper et gérer les violations de données : l’objectif des lignes directrices publiées par le CEPD
Aider les organismes à traiter les violations de données et à identifier les facteurs à prendre en compte lors de l’évaluation des risques, tel est l’objectif des lignes directrices qui viennent d’être publiées par le Comité européen de la protection des données (CEPD)
En effet, si des lignes directrices avaient déjà été publiées fin 2017 (G29 WP250 rev.1, 6 February 2018, Guidelines on Personal data breach notification under Regulation 2016/679 – endorsed by the EDPB), le besoin s’est fait sentir de disposer d’informations davantage orientées vers la pratique et basée réellement sur des cas concrets. C’est donc l’objectif de ces lignes directrices. En tout et de manière didactique, dix-huit cas pratiques ont ainsi été recensés.
Comment résumer ces 18 cas ?
Savoir s’il faut ou non notifier une violation à la CNIL laisse parfois perplexes les entreprises. Pas toujours simple, en effet, de déterminer quels sont les bons critères pour évaluer les violations de sécurité et les risques auxquels ils exposent une société.
Pour le Comité européen de la protection des données, les entreprises peuvent concrètement se retrouver face à six types de risques :
- rançongiciel (sans exfiltration de données et avec sauvegarde ; sans sauvegarde ; dans un hôpital ; avec exfiltration et sans sauvegarde)
- exfiltration de données (exfiltration de données de candidature à des offres d’emploi ; exfiltration de mots de passe hachés ; bourrage d’identifiants sur un site bancaire)
- action d’un salarié, volontaire ou non (sortie de données de l’entreprise par un employé ; transmission accidentelle à un tiers)
- perte/vol d’appareils/documents papier (matériel volé stockant des données personnelles chiffrées ; matériel volé stockant des données personnelles non chiffrées ; documents papier volés contenant des données sensibles)
- Erreur d’envoi (erreur d’envoi postal de factures d’achat en ligne ; données personnelles hautement confidentielle envoyées par courriel par erreur ; données personnelles envoyées par courriel par erreur ; erreur d’envoi postal de documents d’assurance
- ingénierie sociale (vol d’identité ; exfiltration de courriels)
Quels changements concrets vont-ils permettre ?
Ces lignes directrices présentent de manière pédagogique les principales hypothèses rencontrées en pratique. Bien que les cas présentés soient fictifs, ils sont basés sur l’expérience collective des autorités de régulation en matière de notification des violations de données.
Les violations de données sont des problèmes en soi, mais elles peuvent aussi être les symptômes d’un régime de sécurité des données vulnérable, voire obsolète, et indiquer des faiblesses du système auxquelles il faut remédier.
Elles ont donc d’abord vocation « à servir de point de contrôle des processus internes afin de se prémunir contre des attaques mais aussi à servir d’illustration pour modéliser des simulations afin de mieux préparer les salariés à adopter les bonnes attitudes ». En outre, dans une perspective plus curative, elles ont pour objectif d’aider les entreprises à mieux réagir si une attaque se produit.
D’autant qu’il n’est pas toujours simple de déterminer précisément à quel moment le responsable de traitement doit notifier l’autorité de contrôle. Parfois, le responsable du traitement est en mesure d’identifier que l’incident est susceptible d’entraîner un risque et qu’il doit donc être notifié. Mais dans d’autres cas, la notification n’a pas besoin d’être reportée jusqu’à ce que le risque et l’impact entourant la violation ont été pleinement évalués. L’évaluation complète des risques peut en effet avoir lieu parallèlement à la notification, et les informations ainsi obtenues peuvent être fournies à la CNIL par étapes.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental
Quels outils juridiques pourraient mieux protéger les entreprises face à la violation de données ?
C’est presque une lapalissade, mais la première des règles de sécurité, c’est de stocker les données des entreprises sur un cloud certifié sans intrusion possible, répondant aux normes AFNOR NF Z42-013 ET NF Z42-020 . Pour autant, c’est encore loin d’être pratique courante dans toutes les entreprises françaises.
En plus d’offrir la possibilité de paramétrer les accès par profil de poste ou fonction, ce type de cloud offre pourtant en pratique une sécurité accrue et une confidentialité optimale des documents (statutaires, bancaires, registres sociaux, contrats, convocation aux assemblées générales, etc.), dans des formats évitant toute altération.