Violations de données personnelles

Définition:

Une donnée personnelle est une information permettant d’identifier directement ou indirectement une personne. Il peut s’agir d’un nom, d’une photo, d’une adresse postale ou de messagerie (mail), d’un numéro de téléphone, d’une adresse IP. Au sens du Règlement Général sur la Protection des Données (RGPD), la violation de données personnelles désigne la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, et ce, de manière accidentelle ou illicite.

L’origine de la violation de données peut être interne (un collaborateur mécontent ou négligent par exemple) ou bien externe (cybercriminels). Une violation de données personnelles peut avoir des conséquences importantes pour l’organisation qui en est la victime : atteinte à la réputation, préjudice financier, etc.


Les mesures décrites ci-après ne concernent pour l’essentiel que les violations de données personnelles d’origines malveillantes. Elles peuvent toutefois s’appliquer également en partie aux violations de données personnelles d’origines accidentelles.

QUE FAIRE ?

  1. Contactez votre prestataire ou le service responsable des données

    Contactez au plus vite le service ou prestataire informatique de votre organisation afin qu’il puisse intervenir et prendre les mesures nécessaires si besoin.

  2. Isolez le matériel concerné

    Confinez, déconnectez du réseau et mettez en quarantaine les postes ou équipements informatiques concernés par l’incident. Coupez tous les accès réseaux pour stopper l’incident. De même, écartez et conservez les supports informatiques concernés par l’incident (clefs USB, disques durs, CD, DVD, etc.).

  3. Élaborez la liste des données qui ont été compromises

    La première action à réaliser est de dresser un état des lieux de l’incident que vous consignerez dans votre registre des violations de données, dont les informations seront transmises à la CNIL par la suite : la nature de la violation, les catégories et le nombre approximatif de personnes concernées par la violation, le nombre approximatif de données à caractère personnel concernés, les conséquences probables de la violation de données et les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives. Par ailleurs, si les données personnelles ont été divulguées, il est possible que le cybercriminel ait, dans un premier temps, rendu public, qu’une partie de l’ensemble des données qu’il a réussi à dérober. Cela vous permettra de prendre la mesure du préjudice et des conséquences de cette divulgation.

  4. Identifiez l’origine de l’attaque

    En parallèle de la réalisation de l’état des lieux des données personnelles compromises, identifiez les origines possibles de l’intrusion au niveau des équipements touchés du système informatique et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire (solution de chiffrement des données et mesures organisationnelles). L’intrusion peut, par exemple, provenir du piratage d’un de vos comptes d’administration suite à un message d’hameçonnage, d’identifiants de connexion trop faibles, de l’utilisation d’un mot de passe par défaut qui n’aurait pas été changé, de l’ouverture d’une pièce jointe ou d’un clic sur un lien malveillant contenu dans un message (mail) ou bien encore en naviguant sur un site malveillant. Il peut également s’agir d’une infection par un logiciel malveillant, d’un logiciel ou d’un équipement non mis à jour ou bien parce qu’ils ont été mal configurés (port serveur non fermé ou peu sécurisé, etc.), etc. Si l’origine de l’intrusion est interne, identifiez les personnes ayant accès aux données et aux équipements concernés.

  5. Notifiez la CNIL

    En cas de violation de données à caractère personnel, vous avez l’obligation de notifier l’incident à la CNIL en cas de risque pour les droits et libertés des personnes concernées. La notification doit intervenir dans les 72h après que le responsable du traitement des données personnelles a un degré de certitude raisonnable qu’un incident a eu lieu et a touché des données personnelles. La notification peut se faire par le biais d’un a href=”https://notifications.cnil.fr/notifications/index” target=”_blank”>téléservice sécurisé dédié.

  6. Informez les personnes concernées par la divulgation des données

    Dans certains cas, lorsque le risque est élevé et sauf exception, vous devez communiquer aux personnes concernées par cette divulgation certains éléments comme la nature de la violation, les conséquences probables de la violation, les coordonnées de la personne à contacter (responsable de traitement des données par exemple) et les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise. La CNIL suggère également de compléter cette communication dès lors que cela est nécessaire de recommandations à destination des personnes pour atténuer les effets négatifs potentiels de la violation et leur permettre de prendre les précautions qui s’imposent (changement de mot de passe des utilisateurs d’un service, vérification de l’intégrité des données de leur compte en ligne, sauvegarde de ces données sur un support personnel, etc.).

  7. Déposez plainte

    En parallèle de vos investigations techniques sur votre incident et si l’origine malveillante de la violation se confirme, déposez plainte au commissariat de police ou à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire dont vous dépendez. Tenez à disposition des enquêteurs tous les éléments de preuves techniques en votre possession. Il est important de garder à l’esprit que le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs.

Notre exigence sur la notation des compétences est telle que nous garantissons une parfait maitrise des compétences dés 50%