Comment réagir en cas de violation de données personnelles ?

La violation de données à caractère personnel est définie par le RGPD comme la “destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données”. Il s’agit en fait de tout incident de sécurité, malveillant ou non, qui a pour conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données personnelles.

Que faire en cas de violation des données ?

Sur la violation de données personnelles, les articles 33 et 34 du RGPD sont clairs. Tout d’abord, vous devez prévenir toute violation de données en ayant mis en place, en amont, des mesures techniques de protection appropriées. Il s’agit de la notion de “privacy by design”.

1) Mettre en place une procédure pour endiguer la violation de données

Si, malgré ces précautions, vous devez faire face à un cas de violation de données personnelles, les organismes traitant des données personnelles (responsable de traitement ou sous-traitant) doivent lancer un processus adapté à la situation. Ce processus doit permettre de :

  • Détecter rapidement la violation de données
  • L’endiguer rapidement
  • Analyser les risques engendrés par l’incident
  • Déterminer si la Cnil et les victimes doivent être prévenues (les données qui ont fuité sont-elles sensibles ou non ?)

2) Informer la Cnil de la violation de données

Le RGPD oblige donc les entreprises, si elles constatent une faille, d’en informer la Cnil au plus vite en lui fournissant une documentation conséquente sur la nature de la violation, le nombre de victimes ou la catégorie des données concernées.

3) Préserver les responsables de traitement et les victimes

Cette procédure vise à préserver les responsables de traitement et leur capital informationnel, ainsi que les personnes affectées par la violation qui peuvent, ainsi, prendre les mesures de précaution nécessaires.

Les victimes doivent en effet être informées de la fuite si un risque élevé existe. Par ailleurs, l’article 80 du RGPD organise une procédure de recours collectif permettant à chacune de mandater une association pour obtenir réparation du préjudice matériel ou moral…

Fuite de données : plusieurs entreprises épinglées par la Cnil

La fuite de données est un problème d’actualité qui a concerné, ces derniers mois, plusieurs entreprises. A l’instar de la chaîne de magasins d’optique Optical Center qui s’est vu infliger par la Cnil, début juin 2018, une amende de 250 000 euros pour “atteinte à la sécurité des données de ses clients”. Il suffisait en fait de renseigner plusieurs url dans la barre du navigateur web pour avoir accès à des centaines de factures avec des données personnelles (nom, prénom, adresse postale, corrections ophtalmologiques voire numéro de sécurité sociale !).

La Cnil a également sanctionné l’Association pour le développement des foyers (ADF). dont la mission est de mettre à disposition des logements pour les étudiants, familles monoparentales et travailleurs migrants. L’ADF devra payer une amende de 75 000 euros pour “atteinte à la sécurité des données”. L’organisme de contrôle avait constaté, dès juin 2017, qu’une modification du chemin de l’url dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs, comme les avis d’imposition, les passeports ou encore les titres de séjour ! Des données sensibles, qui expliquent la sanction de la Cnil.

Avant le RGPD, la loi Lemaire de 2016…

Quant à l’affaire Optical Center, la Cnil a jugé que le site de l’opticien “n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel avant de lui afficher ses factures”. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société. Optical Center a donc été sanctionné sous l’empire de la loi Lemaire n°2016-1321 du 7 octobre 2016 sur la protection des données personnelles.

Si ces deux affaires avaient eu lieu après que que ne tombent les premières sanctions liées au RGPD au printemps 2019 (entré en vigueur, rappelons-le, le 25 mai 2018), les amendes auraient sans doute été beaucoup plus lourdes puisqu’elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise incriminée.

L’importance de maîtriser ses contenus pour une entreprise

Plus que jamais, les entreprises doivent savoir gérer leurs contenus, maîtriser les données envoyées, par exemple, dans un cloud, pour éviter la fuite de données personnelles qui peuvent coûter cher aussi bien financièrement qu’au niveau de l’image. Pour cela, les grandes entreprises doivent mettre en place une politique efficace de gouvernance de l’information.