RGPD et Système d'information : quelle procédure en cas d'exploitation d’une faille de son SI ?

RGPD, Système d'information et Procédure

La procédure de signalement se décompose en deux étapes, elle consiste en un signalement via une notification de l’autorité compétente aux termes de l’article 33 du RGPD  et des personnes concernées selon l’article 34 du RGPD.

RGPD et faille de sécurité : la procédure de notification de l’autorité compétente

a) Tout d’abord il est question de savoir quand notifier la CNIL ?

Selon l’article 33 du RGPD il est indiqué dans son premier alinéa qu’« En cas de violation de données à caractère personnel le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente ». 

Selon cette définition, seule la violation de données à caractère personnel fait l’objet d’une notification auprès de l’autorité compétente. Comme rappelé dans mon article concernant les cookies, le RGPD, selon l’article 4, s’applique à partir du moment où des données à caractère personnel sont traitées (qu’elles soient collectées, enregistrées, organisées…). Que ces données fassent l’objet de traitement automatique ou non permettant d’identifier de manière directe ou indirecte des personnes physiques résidant dans l’Espace Économique Européen. À contrario, un incident de sécurité de données qui ne seraient pas personnelles ne doit faire en aucun cas l’objet d’une notification à la CNIL (exemple la violation de données d’entreprise). 

Par ailleurs, la CNIL, selon l’article 55 du RGPD est l’autorité compétente française en matière de données personnelles.

b) Par la suite un second critère est à prendre en compte celui de la violation.

La CNIL entend la violation de manière extensive avec : 

- La perte de disponibilité (le responsable de traitement ou l’utilisateur n’a plus accès à ses données)

- la violation de l’intégrité (la données personnelle à fait l’objet d’une modification, elle n’est potentiellement plus exacte)

- la violation de la confidentialité (des personnes non habilitées peuvent avoir accès aux données personnelles, les données ont fait l’objet de copies). 

Un second cas selon le même article, permet d’exonérer le responsable de traitement d’une notification « la violation en question [ne doit pas être] susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ». Dans ce cas, il conviendrait de rédiger une note permettant de justifier que l’on entre effectivement dans le champ de cette exonération en cas de contrôle de la CNIL.

La CNIL indique que cette violation doit être notifiée, peu importe qu’elle soit accidentelle ou volontaire, il sera alors nécessaire de prendre en compte les violations (comprises au sens large) comme pouvant aussi être le fruit de vos erreurs ou de celles de votre sous-traitant. 

Une fois que l’on sait que l’on entre dans le champ de l’article 33 RGPD, il va falloir notifier. Cette notification emporte un certain formalisme de forme et de fond à respecter :

c) Dans quels délais notifier la CNIL ?

L’article 33 du RGPD indique que la notification doit intervenir dans les 72 heures suivant la violation. L’alinéa 1 de l’article 33 indique qu’en cas de retard de notification il sera nécessaire de le justifier en complément.

d) Comment (forme et fond) ? 

Sur la forme de votre notification, celle-ci peut naturellement être physique (voie postale) ou immatérielle (par voie électronique, technique recommandée étant donné que les délais sont relativement courts).

Sur le fond, cette notification doit comporter (article 33 alinéa 3) : un point de contact (un moyen permettant de communiquer avec votre délégué à la protection des données affilié au traitement en cause). À la suite figurent : la nature de la violation (intégrité / confidentialité…), l’origine ou les origines de l’incident (causes), quelle est la nature de la données (si c’est une donnée sensible ou non, hautement personnelle ?), quelles sont les catégories de personnes concernées par cette violation.  Qui sont les personnes concernées par cette violation. Des données ont-elles été copiées, si la réponse est positive il sera nécessaire d’indiquer le nombre de copies faites ? Cette notification comprend alors le détail des conséquences que peut avoir la violation sur les personnes concernées sur leurs droits, et leurs libertés (notamment sur leur vie privée…). En dernier lieu il doit être décrit les procédés envisagés pour que l’exploitation de telles violations ne se reproduisent pas. 

NB : Le fond de cette notification comprend énormément d’informations à prendre en compte, c’est pour cela qu’il est conseillé de préparer en amont ce type de scénario en cas de violation de votre système d’information contenant des données personnelles  (au moins pour les traitements entrant dans le champ de cette obligation).

Si toutefois vous n’êtes pas en mesure de justifier toutes ces informations, l’alinéa 4 de l’article 33 ouvre la possibilité au responsable de traitement d’envoyer les informations manquantes dans un délai raisonnable par palier. Exemple : si vous ne savez pas comment faire pour éviter que ne se reproduise la violation que vous avez subi, vous pourrez faire une notification initiale dans les délais en indiquant les informations à votre disposition(nature de la violation, les personnes concernées etc…). Une fois que vous aurez eu la réponse à cette dernière question, vous enverrez cela en complément à la CNIL.

RGPD et faille de sécurité : la notification des personnes concernées par la violation de données

L’article 34 du RGPD impose en principe le responsable de traitement à avertir les personnes concernées par le traitement de données qui a fait l’objet d’une violation dès lors qu’en découle « un risque élevé pour les droits et libertés d'une personne physique ». Le risque élevé est quelque chose qui peut être très subjectif. Néanmoins, il sera impératif de notifier ces personnes dès lors que des données personnelles de type sensibles (selon l’article 9 du RGPD), ou les données hautement personnelles. Par exemple : L’état de santé, la modification de fiche de santé concernant les allergies d’un client, ou ses données bancaires, des mots de passes en clair. 

Même des données personnelles pourront faire l’objet de cette notification si vous sentez qu’elles présentent un risque élevé pour les droits et libertés des personnes visées (Exemple : une personne récupérant l’adresse du domicile de son conjoint alors qu’il est frappé d’une mesure d'interdiction de rapprochement)

Dans certains cas ce dernier article présente des exceptions à la notification en son troisième alinéa : 

1/ Les violations qui ont été faites ne permettent pas d’avoir accès aux informations de manière certaine qui sont garanties par des procédés rendant incompréhensible l’information. Exemple : un tiers a accès à la base de données concernant les identifiants et mots de passe des clients, mais ceux-ci sont hachés et salés selon des procédés présentant des garanties adéquates ne permettant pas au tiers d’exploiter ces ressources.

2/ Vous avez pris des mesures pour que ces données ne présentent pas de dangers pour les droits et libertés des personnes concernées. 

3/ La notification aux différentes personnes concernées se matérialiserait par des efforts disproportionnés. A titre d’exemple, vous souhaitez avertir chaque client d’une violation de ces données  mais il vous est impossible d’avoir accès à la base de données contenant l’ensemble des adresses électroniques des personnes concernées par la violation de données à caractère personnel. Dans ce cas-ci il est préférable de faire une communication publique via votre site internet par exemple, la CNIL ne vous en voudra sûrement pas.

Si vous doutez quant à la nécessité d’informer, ou sur la possibilité d’entrer dans le champ d’une des exceptions, pas d’inquiétude ! L’article 34 alinéa 4 du RGPD peut vous dédouaner (d’une certaine manière de cette obligation). En effet, lorsque vous notifiez de la violation de données l’autorité compétente, celle-ci se prononcera sur la nécessité de notifier ou non les personnes concernées par cette violation ou décidera si vous entrez dans une des trois exceptions vues plus haut. En ce sens, il est préconisé de notifier la CNIL même si vous pensez entrer dans le cadre d’une des exceptions et de lui poser vos questions sur ces points. 

Concernant les sanctions ?

En cas de contrôle de la CNIL, peut sanctionner sans mise en demeure préalable, et après une procédure contradictoire, dès lors qu’une faille de sécurité est constatée et que vous ne puissiez pas justifier de mesures techniques et organisationnelles. En atteste la solution rendue par le Conseil d’Etat concernant la société Optical Center (en savoir plus sur les sanctions de la CNIL).

Quelles solutions ?

Concernant les mesures techniques, l’homologation  des systèmes d’informations concernant  vos traitements de données personnelles sera votre meilleur atout pour démontrer que vous vous êtes engagés dans les démarches de sécurisation de vos traitements imposées par le RGPD. Pour cela faites appel à des consultants RGPD, cybersécurité, faites des audits de sécurité (pentest…) etc…

Concernant les mesures organisationnelles, démontrez que votre personnel est sensibilisé à ces questions via la mise en place de formation ou d’atelier de sensibilisation à la cybersécurité (contactez Blockproof pour une sensibilisation Cybersécurité et RGPD de vos salariés).  

Dans le cas d’une violation de données, essayez de prévoir une Cellule de Crise pertinente et réactive, capable d'anticiper et de réagir face à un maximum de scénarii possibles. Cela peut se faire en mettant en place des exercice de simulation de crises de cybersécurité au sein de votre établissement, un guide complet est d’ailleurs rédigé à cet effet par l’ANSSI. Faites appel à votre prestataire de cybersécurité, et contactez promptement la CNIL (en cas de doute, contactez-la aussi).

Synthèse :

En amont (prévention des failles informatique) : Mise en place de mesures techniques et organisationnelles proportionnelles aux possibles atteintes des droits et libertés de vos utilisateurs, mais aussi par rapport à l’importance de votre projet et de sa confidentialité. (homologation de vos système d’information concernant les traitements de données personnelles à des fins de preuves)

En aval (réaction aux failles informatiques) : 

  1. Être réactif (le délai de notification est de 72h).  
  2. Entreprendre des actions de confinement et de mitigation de risques.
  3. Notifier la violation à l’autorité compétente, seulement s’il s’agit d’une violation de données à caractères personnelles et que ces données sont susceptibles de faire courir un risque pour les droits et libertés des utilisateurs. 
  4. Notifier des personnes concernées, s’il y a un risque pour les droits et libertés des utilisateurs.

Le mot d’ordre est donc l’anticipation que ce soit pour la procédure de prévention ou de réaction. Pour éviter des sanctions de l’autorité de contrôle ou éviter que des failles informatiques soient exploitées et ne causent de préjudice à votre image, à votre portefeuille, et surtout aux personnes qui font l’objet de vos traitements.