Aider les entreprises à anticiper et gérer les violations de données : l’objectif des lignes directrices publiées par le CEPD

Aider les organismes à traiter les violations de données et à identifier les facteurs à prendre en compte lors de l’évaluation des risques, tel est l’objectif des lignes directrices qui viennent d’être publiées par le Comité européen de la protection des données (CEPD)

En effet, si des lignes directrices avaient déjà été publiées fin 2017 (G29 WP250 rev.1, 6 February 2018, Guidelines on Personal data breach notification under Regulation 2016/679 – endorsed by the EDPB), le besoin s’est fait sentir de disposer d’informations davantage orientées vers la pratique et basée réellement sur des cas concrets. C’est donc l’objectif de ces lignes directrices. En tout et de manière didactique, dix-huit cas pratiques ont ainsi été recensés.

Comment résumer ces 18 cas ?

Savoir s’il faut ou non notifier une violation à la CNIL laisse parfois perplexes les entreprises. Pas toujours simple, en effet, de déterminer quels sont les bons critères pour évaluer les violations de sécurité et les risques auxquels ils exposent une société.

Pour le Comité européen de la protection des données, les entreprises peuvent concrètement se retrouver face à six types de risques :

• rançongiciel (sans exfiltration de données et avec sauvegarde ; sans sauvegarde ; dans un hôpital ; avec exfiltration et sans sauvegarde)
• exfiltration de données (exfiltration de données de candidature à des offres d’emploi ; exfiltration de mots de passe hachés ; bourrage d’identifiants sur un site bancaire)
• action d’un salarié, volontaire ou non  (sortie de données de l’entreprise par un employé ; transmission accidentelle à un tiers)
• perte/vol d’appareils/documents papier (matériel volé stockant des données personnelles chiffrées ; matériel volé stockant des données personnelles non chiffrées ; documents papier volés contenant des données sensibles)
• Erreur d’envoi (erreur d’envoi postal de factures d’achat en ligne ; données personnelles hautement confidentielle envoyées par courriel par erreur ; données personnelles envoyées par courriel par erreur ; erreur d’envoi postal de documents d’assurance
• ingénierie sociale (vol d’identité ; exfiltration de courriels)

Quels changements concrets vont-ils permettre ?

Ces lignes directrices présentent de manière pédagogique les principales hypothèses rencontrées en pratique. Bien que les cas présentés soient fictifs, ils sont basés sur l’expérience collective des autorités de régulation en matière de notification des violations de données.

Les violations de données sont des problèmes en soi, mais elles peuvent aussi être les symptômes d’un régime de sécurité des données vulnérable, voire obsolète, et indiquer des faiblesses du système auxquelles il faut remédier.

Elles ont donc d’abord vocation « à servir de point de contrôle des processus internes afin de se prémunir contre des attaques mais aussi à servir d’illustration pour modéliser des simulations afin de mieux préparer les salariés à adopter les bonnes attitudes ». En outre, dans une perspective plus curative, elles ont pour objectif d’aider les entreprises à mieux réagir si une attaque se produit.

D’autant qu’il n’est pas toujours simple de déterminer précisément à quel moment le responsable de traitement doit notifier l’autorité de contrôle. Parfois, le responsable du traitement est en mesure d’identifier que l’incident est susceptible d’entraîner un risque et qu’il doit donc être notifié. Mais dans d’autres cas, la notification n’a pas besoin d’être reportée jusqu’à ce que le risque et l’impact entourant la violation ont été pleinement évalués. L’évaluation complète des risques peut en effet avoir lieu parallèlement à la notification, et les informations ainsi obtenues peuvent être fournies à la CNIL par étapes.