Fuite de données – Portée de l’obligation de signalement
Toute fuite de données à caractère personnel doit être signalée depuis le 25 mai 2018.
C’est l’une des nouveautés instaurées par le règlement général européen sur la protection des données (RGPD).
Quelle est l’ampleur de cette obligation ?
Quand parle-t-on d’une fuite de données ?
Tout d’abord, selon le RGPD, une fuite de données est définie comme une violation de la sécurité qui entraîne la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé(e) à des données à caractère personnel.
Cette fuite peut être accidentelle ou malintentionnée.
On pense au hacking et plus particulièrement aux nombreux cas de ransomware qui paralyse les données de nombreuses entreprises à travers le monde. Mais les hypothèses visées par le RGPD ne se limitent pas à cela. L’accès aux dossiers du personnel par un employé non autorisé rentre aussi dans cette définition. Tout comme la simple perte d’une clé usb par un employé.
Dans quels cas devra-t-on notifier une fuite de données ?
La brèche de sécurité doit toujours être signalée à l’Autorité de Protection des données. A moins que l’entreprise soit en mesure de démontrer que la fuite de sécurité ne crée aucun risque pour les droits et libertés de ces personnes. Pour démontrer l’absence de risque, les entreprises devront par exemple prouver qu’elles ont mis en œuvre des mesures de protection telles que le chiffrement des données.
La violation doit aussi être notifiée aux personnes dont l’entreprise traite les données, lorsque le risque est plus élevé.
Dans quel délai ?
La notification devra être effectuée dans les 72 heures de la prise de connaissance de la fuite de données.
Or, les heures qui suivent une fuite de données sont cruciales ! Les entreprises doivent tout à la fois tenter de préserver la continuité de leur activité, gérer la brèche de sécurité et donc leur réputation. Mais également penser à documenter la façon dont elles s’y prennent. Et enfin, notifier la fuite si nécessaire à l’Autorité de Protection des données et aux personnes dont elles traitent les données.
Préparation en amont
Les entreprises qui ne sont pas préparées sont donc bien en peine de garder une trace des actions prises dans la panique. Et, a fortiori, de démontrer dans les 72 heures qu’aucun risque n’existe pour les personnes concernées. Et ce afin d’éviter de devoir notifier la fuite de données subie.
Sanctions ?
Or, depuis le 25 mai 2018, ne pas se plier à cette notification expose les entreprises à une amende administrative. Celle-ci peut s’élever jusqu’à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent du groupe auquel l’entreprise appartient ! Le montant le plus élevé étant retenu. Une amende peut aussi être infligée si la fuite est notifiée trop tard ou de façon incomplète.
En outre, le fait de ne pas pouvoir présenter de registre des violations de données pourrait se retourner contre le responsable du traitement.
Autres conséquences possibles ?
Par ailleurs, l’intégralité de la façon dont une entreprise gère les données peut faire l’objet d’une enquête de l’Autorité de Protection des données.
Les irrégularités éventuelles remonteront donc à la surface. Elles pourront donner lieu à des amendes administratives. Et ce même si la fuite de données en elle-même a bien été gérée.
Enfin, les personnes dont les données auront été révélées au public pourront réclamer l’indemnisation de leur préjudice. Une class action est même envisageable.
Pandora box
Comme pour la boîte de Pandore, les conséquences potentielles d’une fuite de données sont multiples et peu souhaitables. Veillons donc ne pas laisser les données s’échapper !
Ons advies:
Tout accès non autorisé au système informatique d’une entreprise constitue potentiellement une fuite de données.
On voit donc l’importance pour les entreprises d’une part d’éviter les fuites, et d’autre part de gérer celles qui se produisent malgré tout.
Il convient d’évaluer les mesures de sécurité déjà en place et de mettre au point une procédure de gestion des fuites de données.
Le délégué à la protection des données peut aider les entreprises dans cette tâche et veiller à la formation du personnel.