Il est question d’un “data breach” lorsque des données à caractère personnel sont compromises, que ce soit par accident ou de manière illicite.
Voir des données personnelles compromises, c’est déjà regrettable en soi. Mais lorsqu’on est un responsable du traitement de ces données, on ne peut pas (plus) rester les bras croisés et faire comme si de rien n’était. Le RGPD (Règlement général européen sur la protection des données) nous oblige à passer à l’action.
Déceler un data breach n’est pas toujours chose aisée, non seulement parce qu’il peut prendre plusieurs formes mais également parce qu’on n’en a pas forcément conscience. Par exemple, il peut arriver qu’un employé ne signale pas la perte d’une clé USB contenant les données de clients, soit parce qu’il craint le courroux de son employeur, soit parce qu’il ignore même qu’il devrait l’en avertir. Or, le RGPD impose à l’employeur une série d’obligations dans pareil cas de figure: cela va de l’adoption de mesures préventives pour empêcher autant que possible la survenance de ce genre d’incidents à la nécessité de gérer et de documenter adéquatement ces incidents lorsqu’ils surviennent ainsi que de les notifier, le cas échéant, sans retard à l’autorité de protection des données, voire aux personnes dont les données ont été compromises lorsqu’il est question d’un “risque élevé” les concernant.
Exemples pratiques
Comme il n’est, dans les faits, pas toujours facile d’y voir clair, le Comité européen de protection des données (CEPD) a eu la bonne idée de publier une série d’exemples pratiques. Plusieurs cas de figure sont ainsi passés en revue, à l’occasion desquels on examine les conditions justifiant de notifier, ou non, un data breach, et ce en fonction des circonstances: cyberattaques ransomware, c’est-à-dire un logiciel malveillant qui empêche un utilisateur d’accéder à ses données (en distinguant un back-up, ou non, de ces données) ou “manipulations humaines”. A cet égard, le CEPD donne notamment l’exemple d’un ancien employé qui a “emporté” avec lui la liste de clients pour les contacter ensuite pour sa nouvelle activité. Ou encore l’envoi par inadvertance, à tous les participants d’un cours d’anglais, des intolérances alimentaires de certains d’entre eux.
La lecture de ces exemples donne ainsi une idée plus précise du “curseur” en la matière. Mais ce n’est pas tout! Le CEPD fournit aussi des recommandations pratiques sur les mesures techniques et organisationnelles qu’il conviendrait d’adopter en fonction des cas de figure. Certaines relèvent du simple bon sens, comme l’usage d’un antivirus à jour. D’autres, par contre, sont plus engagées, à l’instar de l’authentification multifacteur ou de la désactivation de la saisie automatique d’adresses électroniques.
Et si vous ne faites rien (ou mal), gare aux sanctions qui peuvent être salées, comme l’a par exemple appris British Airways en écopant d’une amende de plus de 22 millions d’euros. Ces précieuses “guidelines 01/2021” sont disponibles sur www.edpb.europa.eu.
Un article de Nicolas Roland, avocat associé chez Younity.
