Webinaire de la CNIL
“Les violations de données personnelles : de quoi s’agit-il et comment réagir”
Que faut-il en retenir ?
Vous en avez sûrement entendu parler : la CNIL a lancé cette fin d’année 2022 tout un programme de webinaires sur différents sujets. Si vous avez été chanceux, vous avez peut-être même pu les suivre en direct. Si vous êtes moins chanceux, vous pouvez tout de même les suivre en replay (pour les retrouver, c’est par ici).
Pour aujourd’hui, on vous propose de faire un récap sur le webinaire « Les violations de données personnelles : de quoi s’agit-il et comment réagir » présenté par Gaston Gautreneau et Christophe Vivent, tous deux travaillant au Service de l’expertise technologique de la CNIL au sein de la direction des technologies et de l’innovation.
Le constat relayé par la CNIL dans son Rapport d’activités de l’année 2021, c’est une augmentation sans précédent du nombre des notifications de violations de données à caractère personnel (plus de 79% par rapport à 2020), qui s’accompagne aussi d’une autre augmentation significative : 43% des notifications enregistrées concernent des cas de rançongiciels.
Comme évoqué lors du webinaire : tous les secteurs d’activités sont concernés par ce type d’attaque, peu important la taille de l’organisme ; nous sommes tous des cibles potentielles.
Dès l’introduction, nos présentateurs mettent l’accent sur quelques mesures techniques et organisationnelles essentielles :
- La sensibilisation des salariés, agents, etc. autour de l’usage des courriels pour freiner la propagation de ce type d’attaques, mais aussi pour conscientiser ces personnes sur le besoin de remonter l’information ;
- La nécessité de l’utilisation de mots de passe robustes ;
- La nécessité d’utiliser des solutions de chiffrement fiables sur les supports amovibles, ordinateurs, données sensibles, etc. ; et également,
- Le réel besoin de procéder à des sauvegardes des données traitées, et quand cela est possible, de privilégier la capacité à avoir des sauvegardes déconnectées, hors réseau.
Gaston et Christophe rappelleront ces mesures tout au long du webinaire : ce sont celles qui font le plus souvent défaut aux organismes, et ce sont celles qui permettent la concrétisation de violations de données à caractère personnel.
Mais c’est quoi une violation de données à caractère personnel ?
Une définition plus terre à terre que celle de l’article 4 du RGPD nous est proposée : une violation c’est « Tout évènement accidentel ou intentionnel qui entraîne une altération de la disponibilité, de la confidentialité, ou de l’intégrité des données personnelles. »
Dans la partie question-réponse du webinaire, nos intervenants confirment donc quelques cas de violations de données à caractère personnel :
- La perte d’une clef USB ou d’un ordinateur professionnel qui contiendrait des données personnelles ;
- Une erreur de paramétrage ou un dysfonctionnement qui altérerait l’intégrité ou la disponibilité de données ;
- L’anonymisation de données réalisées par mégarde,
- Etc.
La violation n’est bel et bien pas qu’une fuite de données ou liée à un acte malveillant : elle peut prendre des formes diverses et variées.
Le deuxième axe de présentation du webinaire porte ensuite sur qui fait quoi ? Quelle est la chaîne de notification ?
En premier lieu, le sous-traitant qui découvre une violation de donnée à caractère personnel doit notifier le responsable du traitement dans les meilleurs délais.
A cela, le temps de question-réponse a apporté quelques précisions.
Un sous-traitant peut effectivement réaliser une notification auprès de la CNIL pour le compte du responsable du traitement. On nous le dit d’ailleurs « N’importe qui peut effectuer la notification de violation ». Il a tout de même été rappelé que :
- Ce cas de notification « pour le compte de » devrait être contractualisé et nécessite tout de même que le responsable du traitement soit informé de la situation ;
- La notification d’un sous-traitant ne décharge pas le responsable de traitement de son obligation de notification ;
- Il peut aussi s’agir d’un service facturable : la notification est payante, mais là encore, si ça a été contractualisé.
Enfin, un dernier rappel est que si le sous-traitant a l’obligation de notifier le responsable du traitement « dans les meilleurs délais », ceux-ci ne sont pas précisés par le RGPD. Il est donc de bon ton de négocier et de préciser ces délais de manière contractuelle. On vous recommande, de notre côté, de prévoir des délais courts qui ne dépasseront jamais 72h à compter du moment où la violation est découverte par le sous-traitant.
Dans un second temps, c’est donc le responsable de traitement, qui une fois la violation découverte, doit notifier la CNIL, si et seulement si, la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
Gaston et Christophe décortiquent l’obligation :
- L’obligation de notification commence à courir quand la violation est découverte par le responsable du traitement.
Cela implique soit que le responsable a été informé (notification d’un sous-traitant par exemple) ou que la violation a été détectée via un processus organisationnel (un salarié qui fait remonter l’information) ou technique (un outil de détection).
Cela sous-entend d’ailleurs qu’il faut disposer de l’un ou l’autre de ces processus, voire les deux, pour pouvoir remplir cette obligation. « Le fait de ne pas surveiller n’excuse pas la non-notification ».
Il a été précisé à l’occasion qu’une phase d’investigation est possible. C’est-à-dire qu’une période raisonnable peut être utilisée pour vérifier qu’un évènement porte bien sur des données à caractère personnel avant de « déclencher » le délai de 72h.
- L’obligation de notification concerne les violations susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques
Sur l’évaluation du fameux niveau de « risque » à priori rien de nouveau. Nos présentateurs nous recommandent de prendre en compte les critères soulevés par le Comité européen de la protection des données comme le type de violation, le contexte, la quantité de données touchées mais aussi leur nature, etc.
En cas de doute, ou s’il y a un désaccord sur l’évaluation des risques, nos présentateurs nous ont par contre rappelé l’existence d’un mail permettant d’échanger avec la CNIL : violations@cnil.fr. A garder à l’esprit tout de même que la CNIL pourrait demander de procéder à la notification, voire de mettre en demeure de la notifier, et le cas échéant, de notifier les personnes concernées.
Pour rappel la notification de violation peut être réalisée de manière échelonnée : le téléservice de la CNIL vous contraindra cependant à remplir à nouveau le formulaire. Il s’agit d’un choix délibéré de la CNIL.
Une fois la notification à la CNIL réalisée (et il nous a été confirmé que cette dernière traite absolument toutes les notifications qu’elle reçoit), l’autorité analysera les éléments fournis. En fonction du contenu de la notification, elle pourra fournir des conseils au responsable du traitement.
Quelques questions ont d’ailleurs été traitées sur le sujet :
- Il est en effet usuel de ne pas avoir de retours de la CNIL suite à une notification. Si deux mois après la notification cette dernière n’est pas revenue vers vous, le sujet est probablement clos ;
- Une notification peut effectivement déclencher un contrôle de la CNIL mais cela reste à priori très rare (sur les 5000 et quelques notifications, une vingtaine aurait été à l’origine de contrôles CNIL) ;
- Oui, la CNIL peut demander au responsable de traitement de notifier les personnes concernées voire de mettre en demeure de procéder à cette notification.
Concernant le cas de notification aux personnes concernées, elle ne concerne que les violations susceptibles de présenter un risque élevé. Là encore, on n’a pas appris grand-chose, si ce n’est une précision concernant les cas d’exception de notification.
Sur le dernier cas d’exception : « l’effort disproportionné », nos interlocuteurs ont précisé que la CNIL préférait que la notification reste individuelle quand cela est possible plutôt que publique.
Côté contenu de notifications, pas de nouveauté puisque le contenu est précisé aux articles 33 et 34 du RGPD.
Ce qui ne change pas non plus c’est l’obligation de recenser « toutes violations », qu’elles aient fait ou non l’objet d’une notification. Ce recensement peut se faire dans un registre spécifique de violations de données à caractère personnel et reprendra les faits, les effets et les mesures prises pour corriger les violations.
En bref, nos interlocuteurs ont conclu en réitérant leurs rappels concernant les mesures de sécurité essentielles : sensibilisation, chiffrement, sauvegarde. Sans oublier l’importance d’une gouvernance qui fonctionne et qui permettra de faire remonter les informations essentielles à temps.
Et vous, qu’avez-vous retenu de ce webinaire ? N’hésitez pas à échanger avec nous !
Quelques ressources :