Fuite de données – Portée de l’obligation de signalement
Toute fuite de données à caractère personnel devra être signalée. C’est l’une des nouveautés instaurées par le règlement général européen sur la protection des données (RGPD) qui préoccupe les entreprises. Quelle est l’ampleur de cette nouvelle obligation ?
Quand parle-t-on d’une fuite de données ?
Tout d’abord, selon le RGPD, une fuite de données est définie comme une violation de la sécurité qui entraîne la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé(e) à des données à caractère personnel. Cette fuite peut être accidentelle ou malintentionnée. On pense au hacking et plus particulièrement au récent cas de ransomware qui a paralysé les données de nombreuses entreprises à travers le monde. Mais les hypothèses visées par le RGDP ne se limitent pas à cela. L’accès aux dossiers du personnel par un employé non autorisé rentre aussi dans cette définition. Tout comme la simple perte d’une clé usb par un employé.
Dans quels cas devra-t-on notifier une fuite de données ?
La brèche de sécurité devra toujours être signalée à la Commission de Protection de la Vie Privée. Ainsi qu’aux personnes dont l’entreprise traite les données. A moins que l’entreprise soit en mesure de démontrer que la fuite de sécurité ne crée aucun risque pour les droits et libertés de ces personnes. Pour démontrer l’absence de risque, les entreprises devront par exemple prouver qu’elles ont mis en œuvre des mesures de protection telles que le chiffrement des données.
Dans quel délai ?
La notification devra être effectuée dans les 72 heures de la prise de connaissance de la fuite de données. Or, les heures qui suivent une fuite de données seront cruciales! Les entreprises devront tout à la fois tenter de préserver la continuité de leur activité, gérer la brèche de sécurité et donc leur réputation. Mais également penser à documenter la façon dont elles s’y prennent. Et enfin, notifier la fuite si nécessaire à la Commission de Protection de la Vie Privée et aux personnes dont elles traitent les données.
Préparation en amont
Les entreprises qui ne seront pas préparées seront donc bien en peine de garder une trace des actions prises dans la panique. Et, a fortiori, de démontrer dans les 72 heures qu’aucun risque n’existe pour les personnes concernées. Et ce afin d’éviter de devoir notifier la fuite de données subie.
Sanctions ?
Or, dès le 25 mai 2018, ne pas se plier à cette notification exposera les entreprises à une amende administrative. Celle-ci pourra s’élever jusqu’à 10 000 000 EUR. Ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent du groupe auquel l’entreprise appartient! Le montant le plus élevé étant retenu. Une amende pourra aussi être infligée si la fuite est notifiée trop tard ou de façon incomplète.
Autres conséquences possibles ?
Par ailleurs, l’intégralité de la façon dont une entreprise gère les données pourra faire l’objet d’un contrôle de la Commission de Protection de la Vie Privée. Les irrégularités éventuelles remonteront donc à la surface. Elles pourront donner lieu à des amendes administratives. Et ce même si la fuite de données en elle-même a bien été gérée.
Enfin, les personnes dont les données auront été révélées au public pourront réclamer l’indemnisation de leur préjudice. Une class action est même envisageable.
Pandora box
Comme pour la boîte de Pandore, les conséquences potentielles d’une fuite de données sont multiples et peu souhaitables. Veillons donc ne pas laisser les données s’échapper !
Notre conseil :
Tout accès non autorisé au système informatique d’une entreprise constitue potentiellement une fuite de données. On voit donc l’importance pour les entreprises de se préparer afin d’une part d’éviter les fuites, et d’autre part de gérer celles qui se produiraient malgré tout.
À moins d’un an de l’entrée en vigueur du RGPD, il convient d’évaluer les mesures de sécurité déjà en place et de mettre au point une procédure de gestion des fuites de données.
Le délégué à la protection des données pourra aider les entreprises dans cette tâche et veiller à la formation du personnel.