Violation de données : Les données de santé en crise
On vous a déjà parlé de violations de données à plusieurs reprises : Comment y réagir ? Qui peut être responsable ?
Aujourd’hui une nouvelle question se pose : que se passe-t-il si je ne notifie pas la CNIL ?
En effet, vous l’avez probablement observé dans la presse : le secteur de la santé est de plus en plus touché par des cyberattaques qui sont à l’origine de violations de données de plus en plus importantes (vol de données, diffusion sur les réseaux, etc.)
En France, c’est probablement la plus grosse fuite de données de santé jamais observée qui touche actuellement près de 500 000 personnes qui prendrait pour source une cyberattaque ayant touché des laboratoires d’analyses médicales.
Élément surprenant concernant cette violation : la CNIL a découvert la violation comme tous les français ; via les médias. Élément surprenant puisqu’il existe une obligation de notification dès lors qu’une violation de données est constatée. C’est d’ailleurs ce que la CNIL a rappelé dans l’article publié sur son site à cette occasion.
Que se passe-t-il si on ne notifie pas la CNIL en cas de violations de données ?
Un point étudié par la CNIL sera sans doute de vérifier si les organismes touchés par la violation en étaient conscients. Au-delà des questions de bonne ou mauvaise foi, ce sera aussi l’occasion de s’assurer que les organismes disposaient de mesures de sécurité techniques ou logiques permettant de détecter un incident de sécurité.
Le cas échéant cette vérification permettra également de prouver si l’organisme, au courant de la violation (et espérant peut-être qu’elle passe inaperçue) a décidé de ne pas notifier la CNIL. Dans ce cas-là, le risque le plus évident est celui d’une sanction qui pourra prendre la forme d’une amende pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.
Dans tous les cas, les organismes touchés par la violation ont bien l’obligation de notifier la CNIL.
Pourquoi ? Parce que l’intérêt d’une telle obligation n’est pas seulement celui de notifier la CNIL. Il s’agit aussi de présenter les mesures correctrices qui permettront d’éliminer la violation mais également d’endiguer ses effets.
La notification est alors l’occasion pour la CNIL d’évaluer ses mesures et de vérifier leurs efficacités. Le cas échéant, la CNIL pourra également recommander des mesures supplémentaires ou différentes.
Un autre élément à ne pas oublier est que les organismes touchés par la violation ont également l’obligation de notifier les personnes concernées ! À défaut, ils s’exposeront aussi à un risque de sanction.
Que retenir de la situation actuelle ?
En bref : la sécurité des données doit rester au cœur des questions de conformité RGPD.
En plus détaillé : la sécurité attendue s’entend tout autant par les mesures “classiques” (chiffrement, pseudonymisation, etc.) que par des mesures de sécurité préventives qui permettront de détecter des incidents pour les éliminer au plus tôt ! Sans oublier les process de notification auprès de la CNIL et des personnes concernées, essentiels pour répondre aux obligations en la matière.