ANADEN AVOCATS
LE RÉSEAU DES AVOCATS D'ENTREPRISES

ENTREPRISES: COMMENT REAGIR EN CAS DE FUITES DE DONNEES PERSONNELLES


Tous les organismes, publics ou privés, qui traitent des données personnelles sont soumis à une obligation générale d’assurer la sécurité des données personnelles traitées (Article 32 du RGPD).

Ils doivent ainsi nécessairement mettre en place des mesures techniques et organisationnelles pour prévenir et assurer la sécurité des données personnelles en leur possession afin d’éviter qu’une violation cause des dommages ou préjudices aux personnes concernées.

Selon le baromètre Data Breach 2021 de la CNIL et de l’ANSSI, près de 2 millions de français ont été touchés par une violation de leurs données personnelles en 2021, soit une augmentation de 20 % par rapport à l’année précédente.

60% des cyberattaques d’organismes publics ou privés en 2021 furent des rançongiciels (« ransomware ») et la France serait le 4e pays le plus touché au monde par ce type d’attaques.

Qu’est-ce qu’une violation de données personnelles ?

Le RGPD définit une violation de données personnelles comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. » (Article 4.12 du RGPD).

L’atteinte aux données personnelles détenues par une entreprise/un organisme peut ainsi être de 3 types :

  • Une violation de confidentialité : cela correspond à une fuite de données ou à un accès non autorisé par un tiers, donnant lieu à une divulgation des données.  
  • Une violation de l’intégrité : une altération/une modification des données – elle peut être volontaire ou accidentelle (ex. : en août 2019, 2.000 comptes fiscaux sont modifiés par des cybers attaquants) ;
  • Une violation de disponibilité : les données deviennent inaccessibles pour ceux qui les traitent (ex. : données de salariés rendues inaccessibles par un rançongiciel).

En 2020, 69% des notifications de violations reçues par la CNIL concernaient une perte de confidentialité, c’est-à-dire une intrusion par un tiers qui peut prendre connaissance des données, voire les copier et les divulguer.

Organismes : comment réagir ?

  • Documenter

Le RGPD impose aux responsables de traitement de consigner tout incident constituant une violation dans un registre des violations de données.

Il est en outre opportun de conserver tout élément de preuve de la violation (logs, copies physiques des postes ou serveurs touchés, fichiers chiffrés, etc.) ce qui permettra d’une part, d’identifier l’origine technique de la fuite de données et d’autre part, de confier éventuellement ces éléments aux autorités compétentes afin d’identifier le responsable de l’atteinte.

 

 

  • Notifier à la CNIL

Lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l’organisme doit nécessairement procéder à une notification auprès de la CNIL.

Si les données concernées par la violation sont des données « sensibles », telles que par exemple des données de santé, il sera généralement nécessaire de procéder à cette notification, le risque étant présumé.

Attention, il existe un délai pour procéder à cette notification : celle-ci doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après avoir pris connaissance de la violation, et ce même lorsqu’il s’agit par exemple uniquement d’une indisponibilité temporaire (Articles 33-1 et 55 du RGPD).

Tout défaut d’exécution dans ce délai devra être justifié et en cas de retard indu, l’organisme est passible d’une sanction par la CNIL.

 

  • Informer les personnes concernées

Lorsque le risque d’atteinte aux droits des personnes concernées est élevé, l’organisme sera également dans l’obligation d’en informer les personnes concernées afin de leur permettre de prendre les mesures appropriées pour tenter de limiter lesdits risques.

L’existence d’un risque élevé devra être appréciée au regard des conséquences possibles de la violation de données pour les personnes concernées.

En cas de risque élevé, l’organisme devra alors apporter les informations suivantes aux personnes concernées : la nature de la violation ; les conséquences possibles de la violation ; les coordonnées de la personne à contacter (DPO de l’organisme s’il en existe un) ; les mesures prises pour remédier à la situation et en limiter les conséquences ; d’éventuelles recommandations pratiques (modifier les mots de passe, conserver les preuves de phishing, porter plainte en cas d’usurpation d’identité, etc.).

  • Porter plainte

Certaines entreprises se montrent réticentes à porter plainte pour différentes raisons et notamment car :

  • elles ont par exemple procédé au règlement de la rançon demandée dans le cadre d’un ransomware ; ou
  • elles sont réticentes à faire part de leur défaut de diligences sur les aspects cybersécurité de peur que « cela se sache ».

Ces motifs ne devraient pas freiner le dépôt de plainte dans la mesure où le règlement d’une rançon, bien que déconseillé, n’est pas illégal. D’autre part, le dépôt de plainte ne donnera lieu à aucune publicité ou médiatisation par les autorités de police ou judiciaire.

Il est ainsi conseillé de déposer une plainte auprès des services de police ou de gendarmerie en se faisant éventuellement assister d’un avocat spécialisé.

  • Faire réaliser un audit de sécurité

Idéalement, cet exercice est réalisé régulièrement par l’organisme afin d’anticiper une cyberattaque pouvant notamment donner lieu à une fuite de données personnelles.

Suite à une attaque, il apparait essentiel de faire mener un audit de sécurité global afin de détecter les principales vulnérabilités du système informatique de l’organisme, et de prioriser les actions à mener pour prévenir toute nouvelle atteinte.

Quels impacts pour l’organisme ?

Beaucoup d’entreprises de type TPE / PME négligent les sujets liés à la cybersécurité car elles considèrent, à tort, ne pas être « intéressantes » pour les auteurs de cyberattaques. Or, ces dernières années la démocratisation des attaques par ransomwares montre que ce sujet devrait désormais être au cœur de leur préoccupation compte tenu des conséquences potentielles pour leur activité.

La Confédération des Petites et Moyennes Entreprises estimait par exemple que 4 entreprises sur 10 de moins de 50 salariés ont été victimes d’une cyberattaque en 2019. Également, une étude du MEDEF indique que 20 % des TPE touchées par une cyberattaque auraient subi un préjudice supérieur à 50 000 euros, celui-ci dépassant même les 100 000 euros pour 13 % d’entre elles.

Outre la rançon demandée, les impacts d’une cyberattaque sur l’activité d’un organisme sont multiples : impacts réputationnels et pertes financières qui peuvent s’avérer lourdes en raison de l’indisponibilité du système informatique et donc de l’incapacité partielle voire complète de poursuivre une activité pendant la durée de l’attaque.

 

Me AURORE SAUVIAT  

Avocat au Barreau de PARIS


Derniers articles

ENTREPRISES: COMMENT REAGIR EN CAS DE FUITES DE DONNEES PERSONNELLES

Bail commercial

Création et référencement du site par Simplébo

Connexion