L’entrée en vigueur du RGPD a conscientisé les acteurs publics et privés sur les conséquences d’une violation de données (data breach)
Les exemples fournis de plus en plus régulièrement dans l’actualité démontrent que ce risque est bien réel. S’il faut bien entendu en premier lieu veiller à la sécurité des données en cas d’incident, il faut aussi anticiper la réaction à avoir en cas de crise. « Un homme averti en vaut deux » ou « forewarned is forearmed » comme disent les anglo-saxons. Les entreprises sont donc nombreuses à se préparer aux data breach, mais quels sont les chantiers auxquels il faut s’atteler ?
Procédure interne de gestion des incidents et data breach
Il est évidemment indispensable de prévoir les personnes qui doivent être contactées en cas de data breach et la façon dont la documentation interne doit être établie.
Notification à l’Autorité de protection des données
Lorsque se produit l’incident, cette fuite de données (data breach) doit souvent être notifiée à l’Autorité de protection des données et aux personnes concernées. Cela implique de connaître les conditions dans lesquelles ces notifications doivent être faites. Compte tenu du court délai imparti (72 heures), il est aussi important de se familiariser avec la manière dont il faut procéder à la notification.
Communication de crise en cas de data breach
Si l’incident doit être communiqué aux personnes concernées, il est essentiel que cette communication soit maîtrisée. Ne pas nuire à l’image de l’entreprise ou de l’autorité publique est tout à fait possible. Il convient de mettre l’emphase sur l’attitude proactive et la prise de responsabilité.
Moyens d’actions au civil et au pénal
Les actions à prendre ne s’arrêtent pas à ces notifications. Il faut naturellement veiller à mettre un terme le plus rapidement possible à la violation de données si c’est possible.
D’un point de vue technique, il faut veiller à ne pas compromettre les preuves. Tout en permettant la reprise des activités évidemment.
Si la violation de données est malintentionnée, elle peut constituer différentes infractions. Il est alors possible de déposer plainte. Dans cette optique, il est utile de rassembler au préalable les informations techniques qui seraient indispensables à l’enquête pénale.
Sur le plan civil, on peut bien entendu demander l’indemnisation du dommage causé par la data breach. Si les données peuvent être considérées comme des secrets d’affaires, il existe maintenant une possibilité d’agir en amont afin de limiter ce dommage. Si l’auteur de la violation de données est connu, une action en cessation « comme en référé » peut être introduite.
Autres notifications à effectuer
Par ailleurs, la data breach n’est pas uniquement régie par le RGPD. Elle peut aussi tomber simultanément sous le coup d’une autre législation, telle que :
- la loi relative aux communications électroniques, applicable aux entreprises fournissant un service de communications électroniques accessible au public,
- la future loi établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, pour les opérateurs de services essentiels ou pour les fournisseurs de services numériques.
Les délais à respecter et les formalités de notification diffèrent selon la législation applicable. Des opérations croisées sont donc nécessaires.
Notre conseil :
Compte tenu de la multiplicité des questions techniques et juridiques qui se posent et du risque en termes d’image, il est indispensable de se préparer à gérer une violation de données ou data breach.
Pour vous y aider, notre cabinet a abordé ces différents points lors des formations petits déjeuners earlegal du 25 janvier 2019 à Liège et du 31 janvier à Bruxelles.