Alors que les violations de données personnelles sont devenues une préoccupation majeure pour les entreprises, Me Aurélie Pacaud explique comment lutter contre ce risque.
Aurélie Pacaud a rejoint le département IP-TMT de Gide Paris en 2014 et est titulaire des Barreaux de Paris et de New York. Elle est diplômée de l'Université Paris II – Panthéon-Assas (Master 2 professionnel en droit du multimédia et de l'informatique), de l'Université Paris Ouest Nanterre La Défense (Master 2 recherche en droit français / anglo-américain), et a obtenu un LL.M. de New York University.
Qu’est-ce qu’une violation de données personnelles ? Existe-t-il une typologie de ces violations ?
La violation de données personnelles, appelée également dans le langage courant “faille de sécurité”, est définie dans le RGPD comme une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisées de données à caractère personnelle transmises, conservées ou traitées d’une autre manière.
Cela concerne à la fois des attaques malveillantes, mais également des actions accidentelles, comme de la négligence. Il y a donc plusieurs typologies, en termes de niveaux de risques et également de types de violation. Dans la documentation riche qui existe sur ce thème, trois typologies ressortent :
- la violation de la confidentialité, qui est la plus courante. Elle consiste en la divulgation ou l’accès non autorisé ou accidentel à des données à caractère personnel. Par exemple, la perte d’une clé USB sur laquelle figurent des données personnelles, un accès malveillant à un système d’information, un mauvais paramétrage qui fait que lorsqu’on clique sur une URL, on peut accéder à des données qui sont confidentielles, l’envoi de données au mauvais destinataire ;
- la violation de l’intégrité : l’altération non autorisée ou accidentelle de données à caractère personnel. La CNIL donne l’exemple d’élèves qui s’introduiraient dans le système d’information pour modifier leurs notes ; et
- la disponibilité : la destruction ou la perte accidentelle ou non autorisée de données personnelles. Par exemple, la suppression d’un fichier sans back-up. La CNIL donne l’exemple d’un hôpital qui perdrait l’accès à ses données à cause d’un ransomware ou d’une perte de courant.
Il convient de noter que la combinaison des trois peut arriver.
En termes de chiffres, en 2018, 1170 notifications de violations de données ont été faites à la CNIL, dont 981 étaient des violations de confidentialité. En 2019, il y a eu 2287 notifications dont 1760 étaient liées à la confidentialité. Il s’agit donc du type principal de violation de données.
Les secteurs les plus touchés sont l’hébergement, la restauration, le commerce, les activités financières et assurantielles et en 2019, c’était l’administration publique, ce qui n’est pas très rassurant ! Très récemment, la CNIL a rappelé les obligations applicables en matière de cybersécurité, et a pu constater une multiplication par trois des violations liées à des attaques par cryptolockers sur des établissements de santé (centre hospitalier, clinique, EPHAD, maison de santé, établissements de soin, laboratoires, etc.).
LIRE AUSSI >> Les nouveaux défis de la cybersécurité
Il est vrai qu’on a entendu beaucoup parler d’affaires liées à la violation de données dernièrement...
Précisément. Le sujet a largement été évoqué dans médias ces dernières semaines dans le cadre de la publication sur Internet d'un fichier contenant les données médicales de près de 500.000 personnes.
Par ailleurs, pour la première fois, une sanction pour manquement à l’obligation de notifier a été prononcée par la CNIL à l’encontre de deux médecins libéraux, le 7 décembre 2020. Ces derniers stockaient sur leurs ordinateurs des images médicales (IRM, scanners) en lien avec des données identifiantes de patients, et n'avaient pas mis en place les mesures élémentaires de sécurité pour les protéger. Ces données s’étaient retrouvées en accès libre sur Internet, alors que certaines d’entre elles étaient particulièrement sensibles. Ils ont été sanctionnés à la fois pour avoir omis de notifier et pour ne pas avoir pris les mesures nécessaires.
Qu’est-ce que l’adoption du RGPD a modifié en matière de violation des données personnelles et plus précisément en matière de notifications ?
Avant son entrée en vigueur, il y avait déjà une obligation de notification, mais elle ne concernait que les opérateurs télécom. Cette obligation existe encore, il s’agit de l’article 83 de la Loi Informatique et Libertés.
Depuis l’adoption du RGPD en 2018, est née une obligation générale de notifier toute violation de données. Elle s’applique à tous les acteurs. Il y a une obligation de transparence qui s’impose et qui renforce les exigences de sécurité. La CNIL contrôle toujours le respect de ces exigences dans le cadre de ses audits. La sécurité est une obligation au titre de l’article 32 du RGPD. Il est désormais nécessaire d’être très attentif aux questions de sécurité, car on ne peut plus cacher ce qui ne va pas. L’enjeu de la cybersécurité est remis au premier plan du fait de ces nouvelles obligations de notification.
Quelles mesures peuvent être mises en place par les entreprises pour prévenir ces violations ?
Il y a beaucoup de points à examiner : il faut d’abord porter une grande attention à la sécurité. Il est important de faire une analyse des risques et de mettre en place les mesures élémentaires de sécurité. La CNIL a publié un guide sur la sécurité dans lequel elle explique ce qu’elle attend, thème par thème (e.g. authentification, gestion des habilitations, sécurisation des serveurs et sites web, etc.). Un questionnaire d’auto-évaluation figure à la fin, qui est très utile. De plus, le Comité Européen de la Protection des Données (CEPD) a récemment publié de nouvelles lignes directrices sur les rôles des responsables et des sous-traitants. Or, les failles de sécurité peuvent résulter d'un manquement ou d'un agissement des sous-traitants. C’est pourquoi dans les relations entre les responsables et les sous-traitants, la sécurité doit être très bien encadrée : il ne suffit pas de reprendre les dispositions de l’article 28 du RGPD, selon lequel le sous-traitant s'engage à mettre en place les mesures de sécurité adéquates. L’encadrement des sous-traitants doit être beaucoup plus contrôlé aujourd’hui : il faut que le sous-traitant soit en mesure d’expliquer les mesures de sécurité mises en place afin que le responsable puisse les valider, les vérifier et être informé de toute modification.
Il convient également d’adopter des mesures organisationnelles en sensibilisant le personnel d’une entreprise sur le sujet de la protection des données et de la sécurité ; formaliser des procédures afin d’être préparé lorsqu’une violation survient en créant une cellule de crise, faire des tests, opérer des audits de sécurité et des penetration tests afin de repérer les failles… L’anticipation est primordiale. Par ailleurs, les entreprises peuvent faire appel à certains logiciels ou services spécialisés qui permettent de détecter les incidents de sécurité, ou d'identifier les fuites d'informations sur Internet et sur le « dark web », qui se développent sur le marché.
Dans le cadre de dossiers, nous avons pu voir également qu’il y a des sujets qu’il faut anticiper. Par exemple, la question du traitement transfrontalier si la violation de données concerne plusieurs pays. Dans le formulaire de télédéclaration de la CNIL, se pose la question de savoir quel pays, et plus précisément, quelle autorité doit être notifiée. En effet, a été mis en place le système de l’autorité chef de file, selon lequel lorsque l’on opère des traitements transfrontaliers, il y a un seul interlocuteur, une seule autorité qui est celle où se situe l’établissement principal ou le coeur des activités d’une société : ainsi, pour une société implantée en France qui vend des produits dans toute l’Union européenne et dont la liste de clients belges et néerlandais a fait l'objet d'une violation de données, l’autorité chef de file sera la CNIL, qui fera ensuite le lien avec les autorités des autres pays (notamment belge et néerlandaise). Il faut donc s’interroger à l’avance pour savoir qui est l’autorité chef de file pour chaque activité, afin de savoir qui il faut notifier (Note : ce mécanisme de l'autorité chef de file n'est pas disponible pour les entreprises qui n'ont aucun établissement dans l'Union européenne).
Autre point important : le formulaire de télédéclaration de la CNIL, qui fait environ 15 pages, contient également d’autres demandes qu’il convient de préparer. Par exemple, le nombre de personnes impactées par un traitement, le volume de données… Disposer à l’avance de ces informations permet de ne pas avoir à les récupérer dans l’urgence, le délai de 72 heures étant relativement court.
Afin de mettre en œuvre rapidement et efficacement les procédures, il faut donc de la sécurité, de l’organisation et de l’anticipation.
LIRE AUSSI >> Cyberattaques : comment les affronter ?
Lorsqu’une violation de données se produit, que doit faire l’entreprise ? Qui doit-elle notifier et dans quel délai ?
Au préalable, il convient de noter qu’il existe différents niveaux de violation : les violations de données qui n’entraînent aucun risque, celles qui entraînent un risque et celles qui entraînent un risque élevé pour les droits des personnes. Le régime applicable est différent.
Lorsqu’une violation se produit, il faut, en tout premier lieu, avant même la notification, prendre des mesures techniques pour mitiger le risque et limiter les dommages : mettre en place des mesures de chiffrement, bloquer des accès, supprimer des données…
Il faut ensuite notifier. Il est recommandé dans certains cas - nous l’avons vu dans le cadre de nos dossiers - de déposer une plainte auprès de la cellule cybersécurité de la police. Par ailleurs, en fonction du secteur d'activité du responsable de traitement, d'autres obligations de notification peuvent s'appliquer, e.g. notification à l'ANSSI si l'on est opérateur d'importance vitale par exemple, notifications à l'ACPR et la Banque de France si l'on est prestataire de services de paiement, notification à l'agence régionale de santé si l'on est un centre de santé…
Concernant la notification, il faut déterminer quand, comment et qui notifier. En effet, en premier lieu, cela dépend du rôle de l’entreprise : est-elle responsable de traitement, sous-traitante ou les deux ?
Ensuite, il faut se demander quel est le niveau de risque. L’appréciation se fait au cas par cas, en fonction du volume de données, de leur caractère chiffré ou non, de leur caractère sensible ou non, des conséquences pour les personnes concernées.
Lorsque la violation n’est pas grave, c’est-à-dire qu’il y a bien eu violation, mais qu’il n’y a pas de risque, il n’est pas nécessaire de notifier. Par exemple, si l’on perd une clé USB qui contient des données chiffrées et que l’on dispose d’un back-up. Dans ce cas, une inscription sur le registre de violations de données, qui doit pouvoir être présenté à la CNIL en cas de contrôle, est suffisante. Cela rentre dans l'obligation générale d'accountability, où les entreprises sont responsables de documenter leur conformité.
Si le risque n’est pas particulièrement élevé : il faut notifier à la CNIL dans un délai de 72 heures à partir de la connaissance de la violation. La connaissance se définit comme le degré de certitude raisonnable sur l’existence d’une violation. Par exemple, lorsque l’on se rend compte qu’on a perdu une clé USB, lorsqu’un client nous dit qu’il a reçu un e-mail avec des données qui ne sont pas les siennes, lorsqu’un sous-traitant signale une violation. On a tendance à faire durer les enquêtes, mais la CNIL encourage la notification immédiate, même si toutes les informations ne sont pas encore claires : il est d’ailleurs possible de faire une déclaration initiale et de la compléter au fur et à mesure. Néanmoins, le délai de 72 heures est peu respecté en pratique.
Si le risque est élevé, il faut également notifier les personnes concernées par la violation, dans les meilleurs délais, ceci afin de leur permettre de prendre les mesures nécessaires afin de limiter les risques de préjudice. Un exemple de risque élevé qui a beaucoup marqué les esprits il y a quelques années : un databreach a eu lieu sur un site de rencontres adultères, et cela a entraîné des suicides parmi les personnes inscrites…
La CNIL a mis en place une matrice d’autoévaluation du risque, l’ENISA a publié une méthodologie pour l’évaluer, il est possible également pour les entreprises de créer leur matrice interne.
Concernant la communication aux personnes, il existe certaines exceptions. Par exemple, si la communication exige des efforts disproportionnés, ou qu'il n'est pas possible de contacter individuellement les personnes concernées, les RGPD prévoit que l'on peut procéder à une annonce publique (par exemple, par voie de presse, sur Internet, etc.). De plus, la CNIL a le pouvoir d'enjoindre le responsable de traitement de faire la communication, mais elle est également dans une démarche d’accompagnement : elle peut conseiller le responsable sur les modalités pratiques de cette communication..
Quant au sous-traitant, il doit notifier sans délai le responsable de traitement, car ce n’est pas à lui de faire l’analyse. Les contrats entre responsables et sous-traitants peuvent prévoir des obligations plus strictes en termes de notification (e.g. délais spécifiques, devoir de collaboration spécifique…). Il existe donc un risque de manquement contractuel en l’absence de notification rapide. Les contrats entre responsables et sous-traitants peuvent également prévoir que la notification est déléguée au sous-traitant.
À noter qu’il peut y avoir des difficultés, lorsqu’on est à la fois responsable et sous-traitants et que les données concernées par les violations concernent les deux casquettes. Cela demande un effort d’organisation spécifique.
Le Comité Européen de la Protection des Données a publié en janvier des lignes directrices sur les exemples de violations de données. Qu’est-ce que ce document apporte de nouveau ?
Je vais vous décevoir, il n’apporte pas grand chose ! Il rappelle la nécessité de mettre en œuvre des mesures d’anticipation et de sensibilisation, et mentionne notamment la mise en place d'un "Handbook on Handling Personal Data Breach", outil interne permettant aux salariés d’identifier plus facilement une violation, et de savoir quoi faire (mettre en place les mesures pour en atténuer les conséquences). Il donne une liste de retours d’expériences des autorités de protection des données avec des exemples de cas qui ont pu se présenter, l'analyse correspondante, et la présentation des mesures de sécurité qui ont été mises en place à ces occasions.
Ces exemples peuvent être utiles pour les entreprises si elles sont hésitantes sur certaines analyses. Néanmoins, il est bien précisé qu’une simple différence peut faire changer l’analyse. Il ne faut donc pas les prendre pour argent comptant.
Il n’y a donc rien de révolutionnaire, aucune nouvelle clé d’analyse.
Un mot de conclusion ?
Les sanctions prononcées à l’encontre des médecins portaient sur l’absence de notification et sur l'absence de mesures de protection. Mais il faut noter que la CNIL a déjà pu prononcer de grosses sanctions de plusieurs centaines de milliers d’euros à l’encontre d’entreprises, SERGIC et Activ Assurances, qui avaient respecté leur devoir de notification. En effet, à cette occasion, la CNIL avait procédé à des contrôles et avait ainsi pu constater que les mesures de sécurité mises en place auparavant n'étaient pas suffisantes.
Il existe un réel enjeu pour les entreprises : il ne suffit pas de réparer, il faut également s’interroger sur les mesures de protection existantes en leur sein.
LIRE AUSSI >> Transferts des données : quelles protections pour les Européens ?
Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.
Appelez au 
