Fuite de données : ne pas laisser s'ouvrir la boite de Pandore (RGDP

Fuite de données – Portée de l’obligation de signalement

Toute fuite de données à caractère personnel doit être signalée depuis le 25 mai 2018.

C’est l’une des nouveautés instaurées par le règlement général européen sur la protection des données (RGPD).

Quelle est l’ampleur de cette obligation ?

Quand parle-t-on d’une fuite de données ?

Tout d’abord, selon le RGPD, une fuite de données est définie comme une violation de la sécurité qui entraîne la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé(e) à des données à caractère personnel.

Cette fuite peut être accidentelle ou malintentionnée.

On pense au hacking et plus particulièrement aux nombreux cas de ransomware qui paralyse les données de nombreuses entreprises à travers le monde. Mais les hypothèses visées par le RGPD ne se limitent pas à cela. L’accès aux dossiers du personnel par un employé non autorisé rentre aussi dans cette définition. Tout comme la simple perte d’une clé usb par un employé.

Dans quels cas devra-t-on notifier une fuite de données ?

La brèche de sécurité doit toujours être signalée à l’Autorité de Protection des données. A moins que l’entreprise soit en mesure de démontrer que la fuite de sécurité ne crée aucun risque pour les droits et libertés de ces personnes. Pour démontrer l’absence de risque, les entreprises devront par exemple prouver qu’elles ont mis en œuvre des mesures de protection telles que le chiffrement des données.

La violation doit aussi être notifiée aux personnes dont l’entreprise traite les données, lorsque le risque est plus élevé.

Dans quel délai ?

La notification devra être effectuée dans les 72 heures de la prise de connaissance de la fuite de données.

Or, les heures qui suivent une fuite de données sont cruciales ! Les entreprises doivent tout à la fois tenter de préserver la continuité de leur activité, gérer la brèche de sécurité et donc leur réputation. Mais également penser à documenter la façon dont elles s’y prennent. Et enfin, notifier la fuite si nécessaire à l’Autorité de Protection des données et aux personnes dont elles traitent les données.

Préparation en amont

Les entreprises qui ne sont pas préparées sont donc bien en peine de garder une trace des actions prises dans la panique. Et, a fortiori, de démontrer dans les 72 heures qu’aucun risque n’existe pour les personnes concernées. Et ce afin d’éviter de devoir notifier la fuite de données subie.

Sanctions ?

Or, depuis le 25 mai 2018, ne pas se plier à cette notification expose les entreprises à une amende administrative. Celle-ci peut s’élever jusqu’à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent du groupe auquel l’entreprise appartient ! Le montant le plus élevé étant retenu. Une amende peut aussi être infligée si la fuite est notifiée trop tard ou de façon incomplète.

En outre, le fait de ne pas pouvoir présenter de registre des violations de données pourrait se retourner contre le responsable du traitement.

Autres conséquences possibles ?

Par ailleurs, l’intégralité de la façon dont une entreprise gère les données peut faire l’objet d’une enquête de l’Autorité de Protection des données.

Les irrégularités éventuelles remonteront donc à la surface. Elles pourront donner lieu à des amendes administratives. Et ce même si la fuite de données en elle-même a bien été gérée.

Enfin, les personnes dont les données auront été révélées au public pourront réclamer l’indemnisation de leur préjudice. Une class action est même envisageable.

Pandora box

Comme pour la boîte de Pandore, les conséquences potentielles d’une fuite de données sont multiples et peu souhaitables. Veillons donc ne pas laisser les données s’échapper !

Notre conseil :

Tout accès non autorisé au système informatique d’une entreprise constitue potentiellement une fuite de données.

On voit donc l’importance pour les entreprises d’une part d’éviter les fuites, et d’autre part de gérer celles qui se produisent malgré tout.

Il convient d’évaluer les mesures de sécurité déjà en place et de mettre au point une procédure de gestion des fuites de données.

Le délégué à la protection des données peut aider les entreprises dans cette tâche et veiller à la formation du personnel.

Imprimer
Partager

Cookie	Type	Durée	Description
_wpas_session	session	30 minutes	This cookie is used by Awesome Support (online consultation / SOS) to keep track of website state between page loads and to store temporary information essential to the website's ability to work properly.More info: https://getawesomesupport.com/documentation/awesome-support/cookies/
cookielawinfo-checkbox-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Necessary'.
cookielawinfo-checkbox-non-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given their consent to the usage of cookies under the category 'Non-Necessary'.
PHPSESSID	session		This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookie and is deleted when all the browser windows are closed.
pll_language	persistent	1 year	This cookie is set by Polylang and is used to remember the language selected by the user when he comes back to visit again the website. This cookie is also used to get the language information when not available in another way. Examples are ajax requests or the login page.More info: https://polylang.pro/doc/is-polylang-compatible-with-the-eu-cookie-law/
viewed_cookie_policy	persistent	1 hour	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
woocommerce_cart_hash	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart_	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wordpress_[hash]	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info : https://wordpress.org/support/article/cookies/
wordpress_logged_in_[hash]	persistent	14 days	This cookie is set by Wordpress and is used to indicate when you are logged in, and who you are. This cookie is maintained on the front-end of the website as well when logged in.More info: https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info: https://wordpress.org/support/article/cookies/
wp_woocommerce_session_	persistent	2 days	This cookie is set by WooCommerce. It contains a unique code for each customer so that it knows where to find the cart data in the database for each Customer.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wp-settings-{time}-[UID]	persistent	1 year	This cookie is set by Wordpress and is used to customize the view of your admin interface and the front-end of the website. The value represented by [UID] is the individual user ID of the user as given to them in the users' database table.More info: https://wordpress.org/support/article/cookies/

Cookie	Type	Durée	Description
_ga	third party	2 years	This cookie is installed by Google Analytics 4. The cookie is used to distinguish users for the site's analytics report.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_ga_	third party	2 years	This cookie is installed by Google Analytics 4 to to persist session state.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Cookie	Type	Durée	Description
GPS	third party	30 minutes	This cookie is set by YouTube and registers a unique ID for tracking users based on their geographical locationMore info: https://policies.google.com/technologies/types?hl=en
IDE	third party	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.More info: https://policies.google.com/technologies/types?hl=en
VISITOR_INFO1_LIVE	third party	5 months	This cookie is set by YouTube. Used to track the information of the embedded YouTube videos on a website.More info: https://policies.google.com/technologies/types?hl=en
YSC	third party		This cookie is set by YouTube and is used to track the views of embedded videos.More info: https://policies.google.com/technologies/types?hl=en

Fuite de données : ne pas laisser s’ouvrir la boîte de Pandore