Le Comité européen à la protection des données (« CEPD ») a publié un nouveau projet de lignes directrices sur la notification des violations de données personnelles.
Ces nouvelles lignes directrices pratiques viennent compléter les lignes directrices précédentes et plus générales sur le même sujet qui ont été publiées par le CEPD, encore le groupe de travail « article 29 », en octobre 2017 (voir ici pour plus de détails)
Bien qu’assez complètes, les lignes directrices précédentes manquaient de détails pratiques à certains égards dans la mesure où elles avaient été rédigées lorsque les autorités et les organisations n’avaient pas beaucoup d’expérience en matière de notification des violations de données à caractère personnel. Plus de deux ans plus tard, le CEPD a ainsi décidé de fournir des lignes directrices proposant d’exemples pratiques tirés de leur expérience.
Ces lignes directrices couvrent les types de violations de données à caractère personnel les plus courants auxquelles les organisations peuvent être confrontées et fournissent l’analyse du CEPD, y compris les mesures à prendre, les actions correctives et la nécessité ou non d’une notification.Cet article vise à donner un aperçu des informations fournies dans les les lignes directrices et reproduit les mesures recommandées à mettre en œuvre afin d’éviter et/ou d’être mieux préparé à traiter une violation de données à caractère personnel. Pour une lecture complète des lignes directrices, voir la version anglaise ici.
1. Qu’est-ce qu’une violation de données à caractère personnel ?
Selon la RGPD, une violation de données à caractère personnel est « une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière ».
Elles peuvent être classées comme suit :
- Violation de la confidentialité (c’est-à-dire divulgation/accès non autorisés) ;
- Violation de l’intégrité (c’est-à-dire altération des données) ;
- Violation de la disponibilité (c’est-à-dire perte, destruction des données).
Pour plus d’informations sur la notion de violation des données à caractère personnel, voir ici.
2. Dans quel cas un responsable du traitement doit-il effectuer une notification ?
Une violation de données à caractère personnel peut avoir des effets négatifs importants sur les personnes, tels que des dommages physiques, matériels ou immatériels. Elles peuvent entraîner une perte de contrôle sur leurs données à caractère personnel, une limitation de leurs droits, une discrimination, une usurpation d’identité, une fraude, une perte financière, etc.
Les responsables du traitement doivent:
- Consigner toute violation de données à caractère personnel dans un registre (faits, effets et mesures correctives prises) ;
- Notifier à l’autorité de contrôle la violation de données à caractère personnel susceptible d’entraîner un risque pour les droits et libertés des personnes physiques, sans délai et au plus tard dans les 72 heures suivant la connaissance de la violation ;
- Informer les personnes concernées de la violation des données lorsqu’elle est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques dans le même délai que celui indiqué ci-dessus.
Le RGPD, tout en fournissant des exemples de risques, ne fait pas de distinction claire entre un risque et un risque élevé.
Les lignes directrices tendent à une meilleure compréhension des cas dans lesquels il est nécessaire d’informer les personnes concernées d’une violation de données à caractère personnel.
Dans la pratique, le niveau de risque dépend principalement de :
- du volume et du type de données et de personnes concernées (par exemple, enfants, patients, etc.). En particulier, en ce qui concerne les données sensibles, il est très probable que le risque soit considéré comme élevé ;
- les mesures techniques, organisationnelles et de sécurité mises en œuvre et les mesures correctives qui sont prises pour atténuer le risque une fois que le responsable du traitement a connaissance de la violation de données à caractère personnel ;
- les conséquences probables de la violation sur la personne concernée. Le risque d’usurpation d’identité ou de perte financière sont généralement considérés comme un risque élevé.
3. Les attaques typiques identifiées dans les lignes directrices
Dans ses lignes directrices, le Comité fournit des exemples des cas typiques de violations de données personnelles que les organisations peuvent rencontrer.
Les principales catégories de violations/attaques sont les suivantes :
- Ransomware
- Exfiltration des données
- Risque humain (erreur humaine, etc., perte ou vol d’un appareil ou de documents, erreur postale)
- Ingénierie sociale
- Exfiltration de courriers électroniques
4. Les mesures générales que le CEPD recommandent
En général, l’autorité de surveillance s’attend à ce que les mesures organisationnelles suivantes soient mises en œuvre dans les organisations :
- Plans, procédures de traitement des violations de données ;
- Des lignes de reporting claires et l’identification des personnes responsables des différents aspects du processus de récupération ;
- Formation et sensibilisation du personnel chargé de la gestion des violations de données à caractère personnel aux questions de protection des données ;
- La Comité encourage également la rédaction d’un manuel sur le traitement des violations de données à caractère personnel visant à établir le fait à chaque étape importante d’une violation de données à caractère personnel afin que, si une violation de données à caractère personnel devait se produire, les personnes de l’organisation sauraient quoi faire et l’incident serait traité plus rapidement.
5. Exemples de mesures que le CEPD recommande de mettre en œuvre selon le type de violation de données à caractère personnel
Le CEPD recommande également de mettre en œuvre des mesures plus spécifiques pour la plupart des types de violations de données à caractère personnel qu’il a identifiés dans ses lignes directrices afin d’éviter une violation ou d’atténuer le risque. La liste de mesures reproduite ci-dessous n’est qu’une recommandation et ne doit pas être lue comme une liste exhaustive de mesures. Celles-ci doivent être adaptées à chaque organisation et situation.
Maintenir à jour le microprogramme ("firmware"), le système d'exploitation et les logiciels d'application sur les serveurs, les machines clientes, les composants actifs du réseau et toute autre machine sur le même réseau local (y compris les appareils Wi-Fi).
Un chiffrement et une gestion des clés conformes à l'état de l'art, en particulier lorsque des mots de passe, des données sensibles ou financières sont traités. Mise en œuvre périodique de programmes de formation, d'éducation et de sensibilisation des salariés sur leurs obligations en matière de protection de la vie privée et de sécurité, ainsi que sur la détection et le signalement des menaces pour la sécurité des données à caractère personnel. Activer le chiffrement de l'appareil (comme Bitlocker, Veracrypt ou DM-Crypt). Fixer des normes précises pour l'envoi de lettres/e-mails.
Veiller à ce que toutes les mesures raisonnables de sécurité informatique soient en place de manière effective et soient régulièrement mises à jour lorsque le traitement ou les circonstances changent ou évoluent. Cela inclut la tenue de journaux détaillés indiquant quels correctifs sont appliqués et à quelle heure.
Concevoir et organiser les systèmes et l'infrastructure de traitement pour segmenter ou isoler les systèmes et réseaux de données afin d'éviter la propagation de logiciels malveillants au sein de l'organisation et vers des systèmes externes.
L'existence d'une procédure de sauvegarde actualisée, sécurisée et testée. Les supports de sauvegarde à moyen et long terme doivent être séparés du stockage des données opérationnelles et hors de portée des tiers, même en cas d'attaque réussie (comme la sauvegarde incrémentielle quotidienne et la sauvegarde complète hebdomadaire).
Disposer/obtenir un logiciel anti-malware approprié, à jour, efficace et intégré.
Disposer d'un firewall et d'un système de détection et de prévention des intrusions appropriés, à jour, efficaces et intégrés.
Diriger le trafic réseau à travers le firewall/détection d'intrusion, même dans le cas d'un bureau à domicile ou d'un travail mobile (par exemple en utilisant des connexions VPN aux mécanismes de sécurité organisationnels lors de l'accès à l'internet).
Former les salariés aux méthodes de reconnaissance et de prévention des attaques informatiques. Le responsable du traitement doit fournir des moyens permettant d'établir si les courriers électroniques et les messages obtenus par d'autres moyens de communication sont authentiques et fiables. Les employés devraient être formés pour reconnaître quand une telle attaque s'est produite, comment retirer le point d'extrémité du réseau et leur obligation de le signaler immédiatement au responsable de la sécurité.
Insister sur la nécessité d'identifier le type de code malveillant pour voir les conséquences de l'attaque et être en mesure de trouver les bonnes mesures pour atténuer le risque. En cas d'attaque par un logiciel de rançon réussie et s'il n'y a pas de sauvegarde disponible, les outils disponibles tels que ceux du projet "no more ransom" (nomoreransom.org) peuvent être appliqués pour récupérer les données. Toutefois, si une sauvegarde sûre est disponible, il est conseillé de restaurer les données à partir de celle-ci.
La transmission ou la réplication de tous les journaux à un serveur central de journaux (comprenant éventuellement la signature ou l'horodatage cryptographique des entrées de journaux).
Chiffrement et authentification forte, en particulier pour l'accès administratif aux systèmes informatiques (2FA), gestion appropriée des clés et des mots de passe.
Tests réguliers de vulnérabilité et de pénétration.
Mettre en place une équipe de réponse aux incidents de sécurité informatique (CSIRT) ou une équipe de réponse aux urgences informatiques (CERT) au sein de l'organisation, ou rejoindre une CSIRT/CERT collective.
Créer un plan de réponse aux incidents, un plan de reprise après sinistre et un plan de continuité des activités, et s'assurer qu'ils sont testés de manière approfondie.
Lors de l'évaluation des contre-mesures - l'analyse des risques doit être revue.
Le hachage et le salage cryptographiques pour les informations secrètes (mots de passe) sont toujours préférés au chiffrement des mots de passe. L'utilisation de méthodes d'authentification évitant de traiter les mots de passe côté serveur est également préférable.
Maintenir le système à jour (logiciels et firmwares).
Veiller à ce que toutes les mesures de sécurité informatique soient en place, efficaces et régulièrement mises à jour lorsque le traitement ou les circonstances changent ou évoluent. Le responsable du traitement doit tenir un registre de toutes les mises à jour effectuées, en indiquant également le moment où elles ont été appliquées.
Utiliser des méthodes d'authentification forte comme l'authentification à deux facteurs et les serveurs d'authentification, complétées par une politique de mots de passe actualisée.
Les normes de développement sécurisé comprennent le filtrage des entrées des utilisateurs (en utilisant une liste blanche dans la mesure du possible), l'évitement des entrées des utilisateurs et des mesures de prévention de force brute
(comme la limitation du nombre maximum de tentatives)
. Les "firewalls d'application web" peuvent contribuer à l'utilisation efficace de cette technique.
Mise en place des privilèges d'utilisateur et une politique de gestion du contrôle d'accès solides.
Utilisation de systèmes appropriés, actualisés, efficaces et intégrés de firewall, de détection des intrusions et d'autres systèmes de défense du périmètre.
Audits systématiques de la sécurité informatique et évaluations de la vulnérabilité (tests de pénétration).
Examens et tests réguliers pour s'assurer que les sauvegardes peuvent être utilisées pour restaurer toute donnée dont l'intégrité ou la disponibilité a été affectée.
Pas d'ID de session dans l'URL en texte clair.
Développer un programme de sensibilisation pour rappeler aux salariés les erreurs les plus courantes qui conduisent à des violations de données personnelles et comment les éviter.
Mise en place de pratiques, de procédures et de systèmes solides et efficaces de protection des données et de la vie privée.
Évaluation des pratiques, procédures et systèmes de protection de la vie privée pour garantir une efficacité continue.
Mettre en place des politiques de contrôle d'accès appropriées et obliger les utilisateurs à respecter les règles.
Mettre en œuvre des techniques pour forcer l'authentification des utilisateurs lors de l'accès à des données personnelles sensibles.
Désactiver le compte de l'utilisateur lié à l'entreprise dès que la personne quitte l'entreprise.
Contrôler les flux de données inhabituels entre le serveur de fichiers et les postes de travail des salariés.
Mise en place de la sécurité des interfaces E/S dans le BIOS ou par l'utilisation d'un logiciel contrôlant l'utilisation des interfaces informatiques (verrouillage ou déverrouillage, par exemple USB/CD/DVD, etc.).
Révision de la politique d'accès des salariés (par exemple, enregistrement de l'accès aux données sensibles et obligation pour l'utilisateur de saisir une raison professionnelle, afin que celle-ci soit disponible pour des audits).
Désactiver les services de cloud ouvert.
Interdire et empêcher l'accès aux services de courrier ouverts connus.
Désactivation de la fonction d'impression d'écran dans le système d'exploitation.
Mise en œuvre d'une politique de bureau propre.
Verrouillage automatique de tous les ordinateurs après un certain temps d'inactivité.
Utiliser des mécanismes (par exemple, un jeton (sans fil) pour se connecter/ouvrir des comptes verrouillés) pour un changement rapide d'utilisateur des environnements partagés.
Utilisation de systèmes dédiés à la gestion des données personnelles qui appliquent des mécanismes de contrôle d'accès appropriés et qui empêchent les erreurs humaines, telles que l'envoi de communications au mauvais sujet. L'utilisation de tableurs et d'autres documents de bureau n'est pas un moyen approprié pour gérer les données des clients.
Utiliser un code d'accès/mot de passe sur tous les appareils. Chiffrer tous les appareils électroniques mobiles d'une manière qui nécessite la saisie d'un mot de passe complexe pour le décryptage.
Utiliser une authentification à plusieurs facteurs.
Activer les fonctionnalités des appareils très mobiles qui permettent de les localiser en cas de perte ou d'égarement.
Utiliser le logiciel/application MDM (Mobile Devices Management) et la localisation et activer la fonction d'effacement à distance. Utiliser des filtres anti-reflets.
Fermez tous les appareils non surveillés. Si cela est possible et approprié au traitement des données en question, enregistrez les données personnelles non pas sur un appareil mobile, mais sur un serveur central.
Si le poste de travail est connecté au réseau local de l'entreprise, effectuer une sauvegarde automatique à partir des dossiers de travail, à condition qu'il soit inévitable que des données personnelles y soient stockées.
Utiliser un VPN sécurisé (par exemple, qui nécessite une clé d'authentification distincte de second facteur pour l'établissement d'une connexion sécurisée) pour connecter les appareils mobiles aux serveurs de back-end.
Fournir des serrures physiques aux salariés afin de leur permettre de sécuriser physiquement les appareils mobiles qu'ils utilisent sans surveillance.
Mettre en place une réglementation appropriée pour l'utilisation des appareils en dehors et dans l'entreprise.
Utiliser une gestion centralisée des appareils avec un minimum de droits pour l'installation du logiciel par les utilisateurs finaux.
Installer des contrôles d'accès physique.
Éviter de stocker des informations sensibles sur les appareils mobiles ou les disques durs. S'il est nécessaire d'accéder au système interne de l'entreprise, il convient d'utiliser des canaux sécurisés, comme indiqué précédemment.
Formation adéquate du personnel sur la manière d'envoyer des lettres/e-mails.
Lorsque des courriers électroniques sont envoyés à plusieurs destinataires, ils sont énumérés dans le champ "bcc" par défaut.
Une confirmation supplémentaire est nécessaire pour l'envoi de courriers électroniques à plusieurs destinataires, qui ne sont pas répertoriés dans le champ "bcc".
Application du principe des quatre yeux.
Adressage automatique plutôt que manuel, avec des données extraites d'une base de données disponible et à jour ; le système d'adressage automatique doit être régulièrement révisé pour vérifier les erreurs cachées et les paramètres incorrects.
Application d'un délai pour les messages (par exemple, le message peut être supprimé/modifié dans un certain délai après avoir cliqué sur le bouton de pression).
Désactivation de l'autocomplétion lors de la saisie d'adresses électroniques.
Séances de sensibilisation sur les erreurs les plus courantes conduisant à une violation de données à caractère personnel.
Des sessions de formation et des manuels sur la manière de gérer les incidents conduisant à une violation de données à caractère personnel et sur les personnes à informer (impliquer le DPD).
Pour toute question, vous pouvez contacter Arnaud Blanc, Avocat.
Cette publication est également disponible en en_GB.