February 3, 2023
Que faire en cas de Data Breach dans l'entreprise : guide indispensable


Les entreprises et tous les employés doivent toujours être préparés sur que faire en cas de violation de données. En effet, la discipline de la violation de données ne peut se réduire à la notification au Garant de l’atteinte à la sécurité des systèmes informatiques mais il est au contraire nécessaire d’adopter des mesures préventives (techniques et organisationnelles) pour réduire le risque d’une violation des données personnelles et de pouvoir les gérer au cas où cela se produirait.

Nous voilà donc bien préparés, dotés de mesures de sécurité jugées adéquates (selon l’analyse des risques) pour protéger les données personnelles contenues dans la base de données de l’entreprise mais surtout d’une procédure qui attribue clairement les rôles et responsabilités du DPO au Privacy Officer ; il est entendu que si cette procédure brillamment mise au point reste confinée dans le tiroir du Privacy Officer et inconnue de ceux qui devraient l’appliquer, ce sera comme ne pas l’avoir.

formation spécifique pour ceux qui jouent les différents rôles envisagés, il est fondamental et doit s’accompagner d’au moins un simulateur d’accident tester la réactivité des structures en charge des différentes opérations.

Qu’entend-on par violation de données

Voyons maintenant comment gérer l’événement Violation de données, au moment de sa survenance. Car une chose est certaine : la sécurité absolue n’existe pas. Des incidents de sécurité se produisent tôt ou tard, certains d’entre eux concerneront également des données personnelles et dans certains cas pourraient impliquer des risques pour les parties intéressées : dans ce cas, nous serons confrontés à une violation de données conformément au RGPD.

Certifications RGPD : tous les avantages pour les organisations qui y adhèrent

Violation de données : le flux d’activité

Le flux d’activités à suivre en cas de violation de données peut être divisé en 5 phases :

  1. détection des infractions
  2. gestion des infractions
  3. évaluation de la violation
  4. notification au Garant
  5. (toute) communication aux parties intéressées
  6. registre des infractions

Détection de la violation de données informatiques

Cette phase peut être correctement traitée par une procédure de gestion des incidents de sécurité, indépendante du RGPD ou de la législation sur la protection de la vie privée en général : votre organisation doit disposer d’outils capables de détecter une violation de la sécurité informatique, tels que des systèmes de détection d’intrusion pour les attaques extérieures à l’entreprise. périmètre (mais nous savons que les attaques les plus dangereuses partent de l’intérieur).

Gestion de la violation des données personnelles suite à une violation de données

Ainsi, la phase de gestion technique de la violation doit également être activée et conduite indépendamment de l’implication éventuelle de données personnelles : peut avoir fait l’objet d’une violation de données pas personnel mais beaucoup pertinent pour l’entreprise (brevets, listes de prix ou autres actifs technologiques ou commerciaux).

Dans tous les cas, il doit être clair que l’activité d’analyse nécessaire de la violation ne doit pas priver de ressources la mise en œuvre de mesures visant à la confronter immédiatement et pour éviter qu’il ne se reproduise.

Pour être plus clair : en cas d’accident, il ne faut pas entendre : «Je ne peux pas vous dire quelles données ont été piratées car je suis occupé à résoudre le problème” mais ni: “Je ne peux pas récupérer le système car je suis occupé à collecter des données pour la notification au garant“.

La Équipe de réponse préparée à ces éventualités, elle doit disposer des ressources adéquates pour mener les deux tâches en parallèle.

Évaluation de la violation suite à une cyberattaque

Après avoir clarifié cela, nous pourrons commencer l’analyse de la violation, pour identifier s’il s’agissait ou non de données personnelles.

Si tel est le cas, nous procéderons à une évaluation des risques, dans l’intention risques pour les droits des parties intéressées (c’est-à-dire les personnes auxquelles les données se réfèrent).

Si nous avons préalablement classé le traitement des données personnelles en lui attribuant un éventuel niveau de risque (voir article précédent) évidemment nous serons facilités ; n’ayant pas de classement préalable, nous procéderons tout de même à identifier si nous sommes en l’absence de risques pour les intéressés (la notification au Garant n’est pas nécessaire dans ce cas) ou en présence d’un risque, qui doit être classé :

  1. les dommages corporels, matériels ou immatériels aux personnes physiques ;
  2. perte de contrôle des données personnelles ;
  3. limitation des droits, discrimination;
  4. usurpation ou usurpation d’identité ;
  5. perte financière, préjudice économique ou social ;
  6. décryptage non autorisé de la pseudonymisation ;
  7. atteinte à la réputation ;
  8. perte de confidentialité des données personnelles protégées par le secret professionnel (sanitaire, judiciaire).

Violation de données, notification au Garant

Ces données doivent être signalées dans la notification ainsi que les autres informations recueillies : description de l’événement, nature de l’incident, systèmes informatiques ou médias impliqués, indication des mesures de sécurité qui se sont avérées inefficaces (permettant la violation), actions prises pour contrer l’infraction et celles que le propriétaire entend entreprendre pour réduire le risque de répétition de l’événement.

La notification doit être transmise au garant dans les 72 heures à partir du moment où le propriétaire a constaté la violation informatique sur le réseau de sa pertinence.

Il est important de noter que, si des mesures ont été prises pour prévenir les risques pour les personnes concernées en cas de violation (par exemple : cryptage des données), l’incident peut être classé comme non pertinent, en omettant la notification au Garant.

Communications aux parties intéressées, comme pour dire : elles ont volé nos données personnelles

Nous devrons également évaluer si le risque est qualifié de « élevé » lorsque la violation peut, par exemple :

  1. impliquent une quantité importante de données personnelles et/ou de personnes concernées ;
  2. concernent des catégories particulières de données personnelles ;
  3. inclure des données susceptibles d’augmenter davantage les risques potentiels (par exemple, des données de localisation, financières, d’habitudes et de préférences) ;
  4. impliquent des risques imminents et susceptibles de se produire (par exemple, risque de perte financière en cas de vol des informations de carte de crédit) ;
  5. impact sur les personnes qui peuvent être considérées comme vulnérables en raison de leur état (par exemple, les patients, les mineurs, les suspects).

Dans ce cas, une communication directe aux parties intéressées sera également nécessaire. Il est clair que cette éventualité peut entraîner un problème d’image même important pour l’organisation ; ce qui bien sûr ne constitue pas une raison de s’en abstenir, mais laisse penser qu’il s’agit d’une décision qui ne peut être laissée à des structures techniques et pas même à un Privacy Officer.

La procédure de gestion des violations de données doit répartir de manière adéquate la responsabilité de ce choix et de la définition du contenu et des méthodes appropriées.

Dans le cas où le titulaire décide de ne pas procéder à la communication aux parties intéressées, le Garant (en examinant les éléments de la notification) pourrait exprimer un avis différent et néanmoins demander la communication.

En outre, une gestion appropriée de la réponse aux éventuelles demandes des parties intéressées qui recevront la communication doit être assurée.

Journalisation des violations

Enfin, la violation de données doit être signalée dans le journal des infractionsavec l’indication de toutes les informations ci-dessus, y compris les raisons qui ont conduit à la décision d’envoyer ou non la notification au Garant et toute communication directe aux parties intéressées.

En termes de responsabilité, effectuer correctement toutes les étapes ci-dessus et négliger de les signaler dans le registre est un non-non. Le registre doit alors être conservé afin d’être mis à disposition pour d’éventuelles inspections.

Cloud public : découvrez la voie vers une plus grande sécurité

@TOUS LES DROITS SONT RÉSERVÉS



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *