Certes, le RGPD a été conçu pour encore mieux protéger les droits des citoyens européens lorsque ces derniers sont amenés à communiquer à un tiers des informations personnelles, parfois sensibles, les concernant, et susceptibles de les identifier facilement. L’idée étant que ces données à caractère confidentiel ne soient pas divulguées de manière intempestive, et ne tombent pas entre de mauvaises mains qui pourraient en faire une utilisation malveillante.

Malheureusement, comme le risque « zéro » n’existe pas, le nouveau règlement européen donne aussi la marche à suivre si une fuite de données venait malgré tout à se produire, qu’elle soit volontaire ou accidentelle.

Qu’est-ce qu’une fuite de données à caractère personnel ?

On distingue tout d’abord les fuites de données accidentelles. Elles sont généralement la conséquence d’une mauvaise manipulation, d’une négligence ou encore d’une faute d’inattention : envoi d’un fichier à la place d’un autre, erreur de destinataire, ou encore perte d’un support insuffisamment sécurisé comprenant des données sensibles (ordinateur, tablette, smartphone, clef USB, etc.).

D’autre part, il y a les fuites de données volontaires, souvent provoquées par une intrusion intentionnelle du système informatique depuis l’extérieur, voire aussi l’intérieur (cyberattaque). Elles profitent toujours d’une faille de sécurité, comme d’une faiblesse ou d’une gestion inadéquate des restrictions d’accès sur des fichiers ou des répertoires contenant des données privées.

Comment peut-on constater une violation de données personnelles ?

Quand les données personnelles sont traitées de manière électronique, ce qui est désormais quasiment la règle un peu partout, toute violation ou tentative de violation est en principe rapidement décelée. Les systèmes informatiques sont en effet dotés d’antivirus et autres dispositifs d’alerte automatique, dont le rôle est de prévenir instantanément en cas d’anomalie, comme une intrusion, ou une manipulation de données suspecte.

Par contre, quand des informations concernant des citoyens européens (employés, clients, prospects) sont consignées dans de simples fichiers papier (classeurs, dossiers, etc.), le constat de violation est beaucoup moins évident à faire. En effet, les signes d’alerte ne sont pas forcément faciles à déceler, à moins d’être extrêmement vigilant et observateur : une armoire à dossiers ouverte, tandis qu’elle est systématiquement fermée, des fiches introuvables, malgré une grande rigueur dans le rangement, etc.

Fuite de données : comment réagir ?

En novembre dernier, Uber a révélé avoir subi un très important vol de données personnelles (noms, adresse mail, numéros de téléphone, numéros de permis de conduire) concernant 57 millions de personnes à travers le monde, clients et chauffeurs confondus. Le problème, c’est que les faits ont eu lieu en octobre 2016, soit près d’un an plus tôt. L’entreprise a ainsi délibérément choisi de cacher l’incident à tous, même aux autorités, préférant s’acquitter de la rançon demandée par les pirates.

Si une telle dissimulation est déjà totalement illégale, elle le sera encore plus lorsque le RGPD entrera en vigueur. Dès le 25 mai 2018, en cas de fuite détectée, mieux vaudra donc ne pas suivre l’exemple d’Uber, et se conformer scrupuleusement à la procédure prévue par le règlement général sur la protection des données (article 33), qui consiste à réagir dans les 72 heures.

Ainsi, en cas d’anomalie constatée, les entreprises et organismes auront 3 jours maximum pour communiquer en toute transparence sur leur situation. D’une part, ils devront informer l’autorité de contrôle compétente, la CNIL en France. D’autre part, il leur faudra avertir les personnes dont les données ont été piratées, si la fuite peut engendrer un risque réel pour leurs droits et libertés (données sensibles).

Si la faille n’est pas notifiée dans ce délai de 3 jours, les sanctions pourront s’avérer très lourdes : jusqu’à 10 millions d’€ ou 2% du chiffre d’affaires brut mondial.

 

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34

 

A venir : Comment sécuriser  le traitement des données à caractère personnel ?