Préposé à la protection des données et transparence Jura-Neuchâtel

Violation de la sécurité des données

Protection des données

Violation de la sécurité des données : Comment réagir ?

INTRODUCTION

Les violations de données personnelles sont de plus en plus fréquentes. Elles constituent un non-respect, involontaire ou de source malveillante, du principe de la sécurité des données (consacré par l‘art. 20 CPDT-JUNE). Ces violations peuvent intervenir auprès de l'entité elle-même ou auprès d’un sous-traitant.

Outre l'obligation d'une notification au PPDT des violations de données personnelles, quelles sont les mesures qu’une institution publique confrontée à une telle situation doit prendre ?

Ci-dessous, il sera décrit les situations visées par une « violation de la sécurité des données », les mesures à prendre lorsque la violation intervient auprès de l'entité elle-même, respectivement auprès d’un de ses sous-traitants, l’éventuel rôle du PPDT, ainsi que les principales obligations découlant des textes légaux en matière de protection des données.            

LA NOTION DE VIOLATION DE LA SÉCURITÉ DES DONNÉES

La notion de violation de la sécurité des données personnelles est définie comme étant :

« toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données » (art. 14 let. n CPDT-JUNE).

LE PRINCIPE DE LA SÉCURITÉ DES DONNÉES

Toute entité qui traite de données personnelles doit en garantir la sécurité. L’art. 20 CPDT-JUNE prévoit à cet égard que :

1 Les entités doivent s'assurer que les données sont protégées contre un emploi abusif en prenant des mesures organisationnelles et techniques appropriées.

2 Les entités veillent à l'intégrité, à la disponibilité et à la confidentialité des données.

LES PREMIÈRES MESURES À PRENDRE EN CAS DE VIOLATION DE LA SÉCURITÉ DES DONNEÉS

Dans tous les cas de violations de la sécurité des données

Les entités doivent immédiatement réagir dès la constatation de violations de données. Il en va de même si la violation de la sécurité des données est intervenue auprès d’un sous-traitant. Ce dernier doit en effet annoncer au responsable de traitement (l'entité qui a délégué le traitement de données) toute situation de violation de données.

Il sied tout d’abord de comprendre la nature de l’incident et sa portée. Il convient donc de :

  • Alerter immédiatement le service informatique dont dépend l'entité s'il s'agit de données numériques. Si les connaissances requises lui font défaut, il s'agira de faire appel à une entreprise de sécurité informatique.

  • En cas de cyberattaque, isoler les systèmes concernés (couper toutes les connexions au réseau local, éteindre le wifi) et ne pas allumer les ordinateurs éteints. Il est possible de se référer au site internet du centre national pour la cybersécurité (NCSC) qui propose plusieurs aide-mémoires, selon différents cas de figure. Une cyberattaque peut d’ailleurs lui être annoncée par ce formulaire. NE JAMAIS PAYER de rançon.

  • Constituer une équipe de gestion de crise pour piloter les actions des différentes composantes concernées (technique, RH, financière, communication, juridique...).

  • Tenir un registre des événements (pour tirer les enseignements de l'incident a
    posteriori et mettre les traces à disposition des enquêteurs).

  • Préserver les preuves des violations de données (messages reçus, appels téléphoniques suspects...).

  • Mettre en place des solutions de secours.

  • Déclarer le sinistre auprès de l'assureur.

  • Alerter vos banques au cas où des informations permettant de réaliser des transferts de fonds auraient pu être dérobées.

  • Déposer plainte si la violation est constitutive d’une infraction pénale (art. 143 et 143bis CP).

  • Obtenir du service informatique l'origine de l'attaque et son étendue.

  • Gérez votre communication afin d'informer avec le juste niveau de transparence vos administrés, clients, collaborateurs, partenaires, fournisseurs, médias...

  • Documenter les éléments relatifs aux points susmentionnés, afin de pouvoir y remédier de manière optimale. En effet, l’envoi d’un courriel au mauvais destinataire ne nécessite pas le même type de mesures que lors d’une intrusion malveillante dans ses systèmes informatiques.

  • Tirez les enseignements de la violation de données et définissez les plans d'action•. C'est-à-dire déterminer les mesures prises et à prendre pour limiter les conséquences dommageables de l’incident et éviter qu’il ne puisse se reproduire. Une fois ce premier bilan établi, il s'agira de définir les plans d'action et d'investissements techniques, organisationnels, contractuels, financiers, humains à réaliser pour pouvoir éviter ou a minima pouvoir mieux gérer la prochaine crise.

Parallèlement, il est nécessaire de déterminer :

  • La nature de la violation et sa cause (perte de données, destruction, manipulation, accès non autorisé, communication à une personne non autorisée, etc.).

  • Le moment où la violation est intervenue et le moment où elle a été constatée.

  • •Les données concernées (nom, prénom, adresse, éventuelles données sensibles, etc.).

  • Le nombre approximatif de personnes touchées.

  • Si d’autres entités ont été touchées ou devraient être informées.

  • •Les conséquences avérées et/ou possibles de la violation (en particulier pour les personnes concernées, à savoir risque d’usurpation d’identité, de pertes financières, de dommage réputationnel, de violation d’un secret, etc.).

Pour les entités neuchâteloises, voir aussi les consignes du SIEN spécifiques pour les cyberattaques : https://partenaires.ne.ch  ; https://neinfo.ch.

LA NOTIFICATION DES VIOLATIONS DE DONNÉES

Notification au PPDT

[Formulaire d'annonce]

L'entité responsable du traitement concernée doit informer le PPDT, dans les meilleurs délais, des cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (art. 23c CPDT-JUNE). La notion de "meilleurs délais" doit être comprise dans le sens de "au maximum dans les 72 heures". Si c'est un sous-traitant qui est victime de la violation, il doit, dans les meilleurs délais, en informer l'entité responsable tenue à la notification.

Une évaluation devra intervenir au cas par cas pour déterminer la nécessité d'une notification. La question à se poser est la suivante : quelle est la probabilité (faible, moyenne, élevée) que la violation ait une conséquence négative déterminée (atteinte à la réputation, humiliation, perte d’emploi, discrimination, dommages corporels par exemple) sur la personne concernée et comment cette conséquence négative serait-elle qualifiée (légère, moyenne, grave)[1] ? Il conviendra de prendre en compte, dans l’examen, la nature et le type de données, le type de violation, le nombre de personnes concernées notamment[2].

Le rapport explicatif[3] précise à propos de la notion de "risque élevé" que la révélation de données couvertes par le secret professionnel, ou susceptibles d’entraîner un préjudice financier, une atteinte à la réputation, des dommages corporels ou une humiliation, pourrait être jugée constitutive d’une atteinte «grave». De même, le risque d’un traitement discriminatoire, un vol ou une usurpation d’identité sont considérés comme des violations comportant des risques importants pour les droits et libertés des personnes concernées (rapport explicatif, § 64-65).

Des exemples d’atteintes justifiant une annonce au PPDT pourraient être la perte par un employé d’une clé USB contenant des données privées avec les salaires en texte clair, le piratage d’accès informatiques en ligne (identifiants et mots de passe), l’envoi de documents avec des informations soumises au secret (fiscal par exemple) aux mauvais destinataires[4].

En cas de doute, il est préférable de signaler une violation de la sécurité des données que de la cacher[5].

Le contenu de l’annonce doit au moins indiquer la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées pour remédier à la situation.

Le but d’une telle annonce est que le PPDT puisse suivre la situation et prodiguer des conseils sur les mesures à prendre et sur l’éventuelle nécessité d’informer les personnes concernées.

Notification aux personnes concernées

S’agissant de la notification aux personnes concernées. Elle doit intervenir lorsque cela est nécessaire à la protection de la personne concernée ou lorsque le PPDT l’exige. Si la personne concernée peut elle-même prendre des mesures pour sa protection (changement de mot de passe par exemple), il convient de l’en informer.

Il serait judicieux que l’information donnée aux personnes concernées indique également les conséquences possibles de la violation, les mesures de protection qui doivent être prises telles que la modification des mots de passe, des données d’accès et des coordonnées du PPDT.

INFORMATIONS SUPPLEMENTAIRES

Pour plus de détails, des documents élaborés par la CNIL sont à disposition : https://www.cnil.fr/fr/les-violations-de-donnees-personnelles et https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles.

Pour des exemples détaillés, toujours en application du RGPD, on peut se référer aux lignes directrices 01/2021 sur les exemples de notifications de violation de données adoptées le 14 décembre 2021, dans lesquelles sont traités des cas aussi différents que la situation du rançongiciel ou de la perte de documents :

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en

  

Notes

1. Rosenthal David, La nouvelle loi sur la protection des données, jusletter 16 novembre 2020, n°162. Les nombreux exemples cités par cet auteur, ainsi que sa matrice d’analyse du risque, sont des éléments d’aide auxquels il est recommandé de se référer.     [retour au texte]

2. Métille Sylvain / Meyer Pauline, Annonce des violations de la sécurité des données : une nouvelle obligation de la nLPD, RSDA 1/2021, p. 26.     [retour au texte]

3. Rapport explicatif – STCE 223 – Traitement automatisé des données à caractère personnel. Protocole d’amendement), 10.X.2018, disponible à l’adresse suivante : https://rm.coe.int/16808ac91b     [retour au texte]

4. Rosenthal, op. cit., n°163.     [retour au texte]

5. Métille / Meyer, op. cit., p. 26.     [retour au texte]

10 Conseils en matière de cyberattaque

AVANT

  1. Former et tester le personnel;

  2. Avoir un système informatique à jour;

  3. Protéger les données (chacun ne doit avoir accès qu'aux seules données utiles pour son propore travail). Les donnnées que l'on n'a pas, on ne se les fait pas voler;

  4. Avoir un plan d'action en cas de problème;

PENDANT

  1. Tout dire au service informatique;

  2. Appeler la police;

  3. Traiter l'incident jusqu'au bout;

APRES

  1. Bien nettoyer les machines;

  2. Bien s'entourer pour éviter que ça se reproduise;

  3. Apprendre pour déterminer les efforts à faire pour éviter une nouvelle attaque.

 

Prises de position sommaires du PPDT

2023 - 2022

  1. Si un système d’information fait l’objet d’une violation de sécurité, seul le responsable de traitement doit faire l’annonce de violation à l’autorité à laquelle il est soumis. Les entités qui ont communiqué des données personnelles à ce système ne sont pas tenues de respecter l’art. 23c CPDT-JUNE (dossier 2023.4809).

  2. Pour obtenir la réparation d’un dommage causé par le vol ou une indemnité pour tort moral, les demandes doivent être adressées au responsable de traitement s’il est soumis à la loi neuchâteloise sur la responsabilité des collectivités publiques et de leurs agents (LResp) et si le montant est de moins de CHF 30'000.-. Si le montant est supérieur, la demande sera adressée à la commission cantonale de la responsabilité des collectivités publiques. Si ces démarches n’aboutissent pas dans le sens souhaité et que le demandeur veut aller en justice, il faut impérativement la saisir dans un délai de 3 ans à compter de la connaissance du dommage ainsi que de la personne tenue à réparation. Faute de quoi, il n’est plus possible de faire valoir les prétentions devant un tribunal (dossier 2022.4201).

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.