digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
Le 14 janvier 2021, l’EDPB ou Comité européen à la protection des données a publié ses lignes directrices 01/2021 pour illustrer la notification des violations de données. En effet, les violations de données peuvent prendre des formes très diverses de telle manière que certains responsables de traitement ne les identifient pas ou mal.
Ce texte fait suite et complète les lignes directrices sur la notification de violations de données à caractère personnel adoptées par le G29 (ancêtre de l’EDPB) le 3 octobre 2017.
L’EDPB présente donc des exemples détaillés d’évènements qui constituent différentes catégories de violations de données :
- les ransomware ou rançongiciels,
- les attaques par exfiltration de données,
- les violations fondées sur le facteur humain interne à l’organisme,
- la perte ou le vol de matériels ou documents,
- les erreurs d’adressage
- ainsi que d’autres cas en matière d’ingénierie sociale.
Ces différents scénarios de violation de données personnelles sont basés sur les notifications reçues par les autorités de contrôle depuis l’entrée en vigueur du RGPD. En France, la Cnil indique dans son dernier rapport d’activité, avoir reçu 2 287 notifications de violations de données en 2019.
Les nouvelles lignes directrices ont également pour ambition de présenter pour chaque exemple des mesures pour anticiper la survenance de l’incident et une évaluation des risques. En cas de réalisation de l’évènement, des mesures de remédiation ou d’atténuation sont proposées ainsi que l’indication des obligations déclaratives du responsable de traitement.
L’ensemble de ces informations permet à un responsable de traitement de disposer d’une base de connaissances très importante en matière de violation. Par conséquent, il peut d’une part prendre des mesures préventives en se fondant sur les recommandation du Comité européen à la protection des données, d’autre part documenter et réagir plus facilement, plus rapidement et plus efficacement en cas d’incident de sécurité.
En contrepartie, les autorités de contrôle seront peut-être moins indulgentes lorsqu’un scénario de violation décrit et documenté par l’EDPB se réalisera. Dans cet esprit, la Cnil publie également chaque trimestre une violation emblématique à des fins pédagogiques. A bon entendeur…
Petit rappel de contexte
Le RGPD les définit comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (article 4.12 du RGPD).
Cette définition repose sur trois évènements de sécurité classiques :
- La perte de confidentialité ;
- La perte d’intégrité ;
- La perte de disponibilité.
Leurs conséquences peuvent être variées sur les personnes, tant sur le plan physique que psychologique, matériel et immatériel : perte de contrôle des données personnelles, limitation des droits des personnes, discrimination, vol d’identité ou fraude, pertes financières, atteinte à la réputation, ou d’autres désavantages sociaux ou économiques.
C’est la raison pour laquelle le responsable du traitement est tenu, dans le cadre du RGPD, de mettre en œuvre, en fonction du risque pour les droits et libertés des personnes, toutes les mesures techniques et organisationnelles afin de pallier la survenance de ces trois risques.
Néanmoins, en cas de réalisation d’un incident de sécurité impactant des données personnelles, le responsable du traitement doit documenter cette violation de données, la notifier à l’autorité de contrôle en cas de risque pour les personnes et en faire la communication auprès des personnes concernées si le risque pour elle est élevé.
C’est pourquoi l’EDPB rappelle que chaque responsable de traitement doit mettre en place des procédures pour gérer d’éventuelles violations de données. La formation du personnel à l’identification des incidents et aux mesures à prendre est essentielle pour réagir vite et de manière appropriée en cas d’évènement afin de prévenir ou limiter les impacts pour les personnes concernées. Ces formations doivent être répétées régulièrement afin d’être à jour des dernières tendances en matière de cyberattaques et autres vulnérabilités.
Pour respecter pleinement le principe d’accountability, le responsable de traitement devrait réaliser un recueil interne documentant les différents scénarios de violations de données envisageables, adaptés à son contexte, avec les mesures prises pour en empêcher la réalisation, l’évaluation du niveau de risque en cas de survenance de l’incident, les mesures de remédiation à prendre ainsi que ses obligations subséquentes.
La documentation interne a également pour objet, et pour obligation, de conserver la trace des violations survenues afin d’en tirer les leçons et de pouvoir prouver à l’autorité de contrôle la célérité de la réaction et l’efficacité des mesures prises.
Les nouvelles lignes directrices fournissent donc une matière bienvenue pour que les responsables de traitement qui ne l’ont pas fait se lancent dans ce travail de documentation interne des scénarios de violation de données !
En savoir plus :
https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_fr
