Wannacry, Petya, ... ces noms vous rappellent-ils quelque chose ? Depuis ces attaques, les entreprises font preuve d’une vigilance accrue à l’égard des fuites de données, a fortiori lorsque des données à caractère personnel sont impliquées. Quels changements l’entrée en vigueur du RGPD entraînera-t-elle exactement ?


 

 Le RGPD, ou règlement général sur la protection des données (GDPR en anglais), entrera en vigueur le 25 mai 2018. Ce règlement européen contient de nouvelles obligations, qui ne figurent pas dans l’actuelle loi Vie privée du 8 décembre 1992, applicables en cas de violation de données à caractère personnel ou « fuite de données » (personal data breach en anglais).

Il est question de fuite de données lorsqu’une violation de la sécurité entraîne, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données concernant une personne physique identifiée ou identifiable transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données (art. 4, 12) RGPD).

Cette notion ne se limite donc pas aux situations dans lesquelles des personnes mal intentionnées (hackers) tentent de s’emparer de ou de bloquer l’accès à des données à caractère personnel en les chiffrant au moyen d’un ransomware, les victimes devant alors payer une rançon aux hackers pour pouvoir récupérer l’accès à leurs données, comme ce fut le cas durant la première moitié de 2017 lors des attaques Wannacry et Petya.

Bien que les attaques de ce type monopolisent généralement l’attention des médias, plus de 80% des fuites de données se produisent en quelque sorte « par accident ». Quelques exemples typiques : la perte d’un smartphone ou d’une clé USB contenant un document reprenant les noms de tous les membres du personnel, leurs salaires et bonus ou l’envoi de ce document par e-mail à une personne externe ou même à une personne interne à l’organisation n’étant pas supposée avoir accès à ce document dans le cadre de sa fonction. De même, lorsqu’un ordinateur plante sans qu’aucun back-up n’ait été effectué au préalable, entraînant la perte de toutes les données, l’on considère cela comme une fuite de données.

Documenter et/ou notifier la violation

Indépendamment des conséquences opérationnelles de la fuite de données pour l’organisation, de nouvelles obligations devront désormais être respectées en cas de violation de données en vertu du RGPD.

Le responsable du traitement - soit la personne qui détermine les finalités et les moyens du traitement des données - sera notamment tenu de documenter toute violation de données à caractère personnel. Il devra ainsi indiquer les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier, de manière à permettre à l’autorité de protection des données de vérifier le respect du RGPD (art. 33, §5 du RGPD). L’Autorité de protection des données remplacera l’actuelle Commission de la protection de la vie privée, également connue sous le nom de commission Vie privée. De nouveaux pouvoirs et de nouvelles tâches vont être attribués à cette entité dans une nouvelle loi à laquelle le législateur apporte actuellement la touche finale.

Dans certains cas, le responsable du traitement devra également notifier la violation de données à caractère personnel à l’Autorité de protection des données, d’une part, ainsi qu’à la/aux personne(s) concernée(s).

Le responsable du traitement devra notifier la violation à l’Autorité de protection des données dans les meilleurs délais et au plus tard dans les 72 heures après en avoir pris connaissance. Dans le cas contraire, il devra justifier ce retard (art. 33, §1 RGPD).

Ainsi, dès que le responsable du traitement constatera une violation, en plus de remédier à celle-ci, limiter les dommages et, le cas échéant, remettre son organisation sur pied pour pouvoir s’occuper à nouveau de ses clients, il devra également penser à notifier la violation à temps, et au plus tard dans les trois jours.

La notification doit reprendre les éléments suivants :

  • la nature de la violation ainsi que les catégories et le nombre de personnes concernées (p.ex. enfants ou travailleurs) ;
  • les données à caractère personnel concernées et leur nombre (p.ex. données relatives à la santé, données financières) ;
  • les coordonnées du délégué à la protection des données (ou Data Protection Officer) ou d’un autre point de contact auprès duquel l’Autorité de protection des données peut obtenir des informations supplémentaires ;
  • les conséquences probables de la violation de données à caractère personnel (p.ex. usurpation d’identité, perte financière) ;
  • les mesures prises et proposées pour remédier à la violation et en atténuer les éventuelles conséquences négatives (p.ex. effacer les données du smartphone à distance (wipe)). Ces informations peuvent toutefois être communiquées de manière échelonnée.

Dans quels cas la notification sera-t-elle obligatoire ?

Le responsable du traitement ne sera soumis à cette obligation de notification qu’en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Le RGPD stipule en outre que les personnes concernées doivent être informées dans les meilleurs délais lorsque la fuite de données est susceptible d’engendrer un « risque élevé » pour les droits et libertés de ces personnes.

Le « risque » semble donc être le mot clé permettant de déterminer si la fuite de données doit être notifiée ou non par le responsable du traitement. Jusqu’ici, les termes « risque » et « risque élevé » étaient sujets à discussion dans la mesure où le RGPD ne prévoyait pas de critères pour distinguer les fuites de données présentant un risque limité et ne devant pas donner lieu à une notification des fuites présentant un risque, voire un risque élevé, et devant dès lors être notifiées. Cette analyse du risque doit par ailleurs permettre de déterminer les mesures devant être prises par le responsable du traitement pour évaluer le degré de probabilité et de gravité de la fuite de données et agir de manière correcte et efficace.

Pour remédier à ce manque de clarté, le Groupe de travail Article 29 (G29), un organe consultatif au sein duquel les commissions vie privée des États membres de l’UE se réunissent, a publié des lignes directrices à ce sujet le 3 octobre 2017, précisant quand un responsable du traitement doit ou non notifier une fuite de données à l’autorité de protection des données compétente.

Le responsable du traitement devra évaluer si la fuite de données est susceptible d’engendrer un risque pour les droits et libertés de la personne concernée en analysant les éventuelles conséquences négatives pour celle-ci. La fuite peut en effet causer des dommages physiques, matériels et immatériels tels qu’une discrimination, une usurpation d’identité, une perte financière, une atteinte à la réputation, l’impossibilité de contrôler ou d’accéder à ses données à caractère personnel, etc.

Le G29 a énuméré un certain nombre de facteurs permettant d’évaluer la gravité du risque. Ainsi, la nature et la portée de la violation auront un impact. Les données relatives à la santé d’une personne sont-elles définitivement perdues suite au plantage d’un système logiciel ou ces données ont-elles atterri dans les mains d’un tiers ? Deuxième élément : la sensibilité et le volume des données à caractère personnel concernées par la fuite. La combinaison de différentes données à caractère personnel et la facilité d’identifier une personne peuvent engendrer un risque élevé (p.ex. usurpation d’identité). Lorsque les données concernent des personnes plus vulnérables, comme des enfants, le risque n’en sera que plus élevé. Les conséquences négatives que peut entraîner une fuite de données pour la personne concernée, telles qu’une atteinte à la réputation, doivent être prises en compte également, a fortiori lorsque les données à caractère personnel atterrissent dans de mauvaises mains.

La communication à la personne concernée n’est pas nécessaire dans les cas suivants :

  • le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, notamment pour rendre les données à caractère personnel incompréhensibles, par le biais d’un chiffrement par exemple ;
  • le responsable du traitement a pris des mesures ultérieures garantissant que le risque élevé ne se produira plus ;
  • la communication exigerait des efforts disproportionnés. Toutefois, dans ce cas, il devra être procédé à une communication publique permettant à la personne concernée d’être informée de manière tout aussi efficace (art. 34, §3 RGPD).

Lors de la notification à la personne concernée, il est recommandé d’informer également cette dernière concernant les mesures qu’elle pourrait prendre elle-même pour limiter les risques : ne pas divulguer ses mots de passe, par exemple.

Par ailleurs, l’autorité de protection des données disposera toujours d’une marge d’appréciation pour déterminer si le responsable du traitement doit communiquer la fuite de données aux personnes concernées ou si l’une des exceptions s’applique, le dispensant de cette communication. Le responsable du traitement étant tenu de documenter toute notification, une bonne documentation permettra généralement d’influencer positivement la décision de l’autorité de protection des données.

Lorsque, dans le cadre du traitement des données à caractère personnel, le responsable du traitement fait appel à un sous-traitant, par exemple un secrétariat social ou un fournisseur de services cloud, traitant les données uniquement sur instruction du responsable du traitement, ce sous-traitant devra notifier immédiatement toute violation au responsable du traitement dès qu’il en aura connaissance. Le sous-traitant devra en outre aider le responsable à s’acquitter de ses obligations, telles que la documentation des violations ou la notification de celles-ci. Dès que le sous-traitant aura informé le responsable du traitement de la violation, le délai de notification de 72 heures commencera à courir.

Enfin, l’attention doit également être attirée sur l’existence d’autres dispositions légales applicables imposant la notification des violations, telles que l’article 114/1, §3 de la loi du 13 juin 2005 relative aux communications électroniques, qui impose aux entreprises fournissant des services de communications électroniques accessibles au public d’avertir la Commission de la protection de la vie privée en cas de violation de données à caractère personnel. La directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (la directive NIS) propose quant à elle une obligation de notification des violations tant pour les fournisseurs de services numériques (places de marché en ligne et moteurs de recherche en ligne) que pour les opérateurs de services essentiels (notamment dans les secteurs suivants : énergie, transports, banques, santé et infrastructures numériques).

L’entrée en vigueur de ces nouvelles obligations approchant à grands pas, il est de la plus haute importance de mettre en œuvre les procédures et mesures nécessaires en interne afin d’empêcher les fuites de données et d’en limiter la gravité. Et lorsqu’une notification sera requise, le responsable du traitement devra veiller à s’acquitter de cette obligation de manière correcte et efficace, afin de limiter autant que possible les dommages pour l’organisation (p.ex. amendes administratives), mais aussi toute mauvaise publicité.

Une consultation concernant les lignes directrices du G29est en cours jusqu’au 25 novembre 2017. Vous pouvez envoyer vos remarques concernant les lignes directrices à thomas.vangremberghe@agoria.be jusqu’au 23 novembre 2017. 

Des lignes directrices pour le WP 29 traitant des décisions individuelles et de profiling ont aussi été publiées, à découvrir ici.

Des remarques ? Parlez-en à thomas.vangremberghe@agoria.be avant le 23 novembre 2017.

Agoria organise différentes formations Academy Data Protection, abordant de manière approfondie la problématique des fuites de données. Cliquez ici pour de plus amples informations et pour vous inscrire