En cas de de « data breach », c’est-à-dire une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données (par exemple en cas de cyberattaque ou de perte d’une clé USB contenant les données de clients), le responsable du traitement concerné ne peut pas rester les bras croisés à ne rien faire.
Les articles 33 et 34 du Règlement Général européen sur la Protection des Données (RGPD) lui imposent en effet un certain nombre d’obligations, à l’instar, le cas échéant, d’une notification auprès de l’Autorité de Protection des Données, voire même auprès des personnes concernées.
Des lignes directrices existent déjà en la matière, et plus particulièrement celles établies le 6 février 2018 (WP250rev.01) par le Groupe de Travail Article 29, c’est-à-dire l’ancien organe consultatif européen indépendant sur la protection des données et de la vie privée, auquel a depuis succédé le Comité Européen de la Protection des Données (CEPD).
Précisément, le CEPD vient de publier un projet d’exemples pratiques en la matière, à l’instar d’une attaque de type ransomware (avec ou sans backup) ou de données à caractère personnel transmises par erreur par email à un mauvais destinataire, voire le vol de données clients par un ancien employé.
La lecture de ces exemples donne ainsi une idée plus précise du « curseur » qu’une autorité de protection des données peut adopter pour parler d’un « risque élevé » justifiant une notification aux personnes physiques concernées par le data breach, mais également des mesures techniques et organisationnelles recommandées par le CEPD, par exemple l’utilisation de l’authentification à deux facteurs (A2F) pour l’accès administratif aux systèmes informatiques.
Par la même occasion, le CEPD rappelle que chaque responsable du traitement devrait disposer de plans et de procédures pour traiter d’éventuelles violations de données, avec des lignes hiérarchiques claires et des personnes responsables de certains aspects du processus de récupération.
Le projet d’exemples du CEPD (en EN), ouvert à consultation, est disponible ici :
Les lignes directrices précitées du Groupe de Travail Article 29 (en EN) sont, quant à elles, disponibles ici :
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052
De même que le RGPD
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=fr