Violation de données personnelles : nouvelles lignes directrices du Comité européen à la protection des données

Le 14 janvier 2021, l’EDPB ou Comité européen à la protection des données a publié ses lignes directrices 01/2021 pour illustrer la notification des violations de données. En effet, les violations de données peuvent prendre des formes très diverses de telle manière que certains responsables de traitement ne les identifient pas ou mal.

Ce texte fait suite et complète les lignes directrices sur la notification de violations de données à caractère personnel adoptées par le G29 (ancêtre de l’EDPB) le 3 octobre 2017.

L’EDPB présente donc des exemples détaillés d’évènements qui constituent différentes catégories de violations de données :

– les ransomware ou rançongiciels,
– les attaques par exfiltration de données,
– les violations fondées sur le facteur humain interne à l’organisme,
– la perte ou le vol de matériels ou documents,
– les erreurs d’adressage
– ainsi que d’autres cas en matière d’ingénierie sociale.

Ces différents scénarios de violation de données personnelles sont basés sur les notifications reçues par les autorités de contrôle depuis l’entrée en vigueur du RGPD. En France, la Cnil indique dans son dernier rapport d’activité, avoir reçu 2 287 notifications de violations de données en 2019.

Les nouvelles lignes directrices ont également pour ambition de présenter pour chaque exemple des mesures pour anticiper la survenance de l’incident et une évaluation des risques. En cas de réalisation de l’évènement, des mesures de remédiation ou d’atténuation sont proposées ainsi que l’indication des obligations déclaratives du responsable de traitement.

L’ensemble de ces informations permet à un responsable de traitement de disposer d’une base de connaissances très importante en matière de violation. Par conséquent, il peut d’une part prendre des mesures préventives en se fondant sur les recommandation du Comité européen à la protection des données, d’autre part documenter et réagir plus facilement, plus rapidement et plus efficacement en cas d’incident de sécurité.

En contrepartie, les autorités de contrôle seront peut-être moins indulgentes lorsqu’un scénario de violation décrit et documenté par l’EDPB se réalisera. Dans cet esprit, la Cnil publie également chaque trimestre une violation emblématique à des fins pédagogiques. A bon entendeur…

Petit rappel de contexte

Le RGPD les définit comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (article 4.12 du RGPD).

Cette définition repose sur trois évènements de sécurité classiques :

– La perte de confidentialité ;
– La perte d’intégrité ;
– La perte de disponibilité.

Leurs conséquences peuvent être variées sur les personnes, tant sur le plan physique que psychologique, matériel et immatériel : perte de contrôle des données personnelles, limitation des droits des personnes, discrimination, vol d’identité ou fraude, pertes financières, atteinte à la réputation, ou d’autres désavantages sociaux ou économiques.

C’est la raison pour laquelle le responsable du traitement est tenu, dans le cadre du RGPD, de mettre en œuvre, en fonction du risque pour les droits et libertés des personnes, toutes les mesures techniques et organisationnelles afin de pallier la survenance de ces trois risques.

Néanmoins, en cas de réalisation d’un incident de sécurité impactant des données personnelles, le responsable du traitement doit documenter cette violation de données, la notifier à l’autorité de contrôle en cas de risque pour les personnes et en faire la communication auprès des personnes concernées si le risque pour elle est élevé.

C’est pourquoi l’EDPB rappelle que chaque responsable de traitement doit mettre en place des procédures pour gérer d’éventuelles violations de données. La formation du personnel à l’identification des incidents et aux mesures à prendre est essentielle pour réagir vite et de manière appropriée en cas d’évènement afin de prévenir ou limiter les impacts pour les personnes concernées. Ces formations doivent être répétées régulièrement afin d’être à jour des dernières tendances en matière de cyberattaques et autres vulnérabilités

Pour respecter pleinement le principe d’accountability, le responsable de traitement devrait réaliser un recueil interne documentant les différents scénarios de violations de données envisageables, adaptés à son contexte, avec les mesures prises pour en empêcher la réalisation, l’évaluation du niveau de risque en cas de survenance de l’incident, les mesures de remédiation à prendre ainsi que ses obligations subséquentes.

La documentation interne a également pour objet, et pour obligation, de conserver la trace des violations survenues afin d’en tirer les leçons et de pouvoir prouver à l’autorité de contrôle la célérité de la réaction et l’efficacité des mesures prises.

Les nouvelles lignes directrices fournissent donc une matière bienvenue pour que les responsables de traitement qui ne l’ont pas fait se lancent dans ce travail de documentation interne des scénarios de violation de données !

En savoir plus :
https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_fr

Je partage

Derniers articles

miniature article mission exploratoire metavers

Développement du métavers : ce que dit le rapport de la mission exploratoire

Initiée par plusieurs ministères (dont ceux de l’Économie et de la Culture), la mission exploratoire sur le développement des métavers a récemment rendu son rapport et ses conclusions. Les auteurs de ce rapport ont établi des constats, identifié les enjeux sous-jacents et émis des propositions sur le sujet. Décryptage par Alice Picard, notre juriste consultante en protection des données.

Lire l'article
miniature accord etats unis europe

Accord entre l’Union européenne et les États-Unis sur le transfert de données : jamais deux sans trois ?

Début octobre 2022, les États-Unis ont ouvert la voie à un nouvel accord renforçant la protection et le transfert des données personnelles avec l’Europe. Notre experte Marie Pontrucher fait un point complet sur les relations entre les États-Unis et l’Union européenne concernant le marché de la donnée.

Lire l'article