Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Confidentialité & Conformité

Guide informatique sur la règle de Notification des violations du GDPR

Violation de données à caractère personnel vs. Violation déclarable Notification aux régulateurs Notification des violations et Ransomware Communication aux personnes concernées Notification par étapes des violations Détails de la notification...
Michael Buckbee
9 minute de lecture
Dernière mise à jour 29 octobre 2021

Contenu

    Index

    Le Règlement général sur la protection des données (GDPR) entrera en vigueur dans quelques mois — le 25 mai 2018 pour être précis. Si le document constitue une lecture intéressante pour les avocats experts en sécurité des données, il serait utile que nous autres informaticiens disposions de quelques conseils pratiques concernant certaines de ses sections les plus difficiles à interpréter, notamment la règle de notification des violations, énoncée dans les articles 33 et 34.

    La clause du GDPR exigeant la notification de la violation dans les 72 heures ne figure pas dans la directive européenne actuelle, en vigueur depuis le milieu des années 90. Pour de nombreuses entreprises, respecter ce délai demandera un travail supplémentaire de la part de l’équipe informatique.

    Avec l’aide de quelques experts juridiques (merci à Sue Foster et Brett Cohen) j’ai également examiné le texte de la règle du GDPR sur la notification. La question clé qui reste partiellement sans réponse est le seuil de notification dans les cas réels.

    Par exemple, une attaque de ransomware doit-elle être déclarée aux régulateurs ? Qu’en est-il des adresses e-mail et handles en ligne exposés à la vue des hackers ?

    Pour en savoir plus, lisez la suite.

    Violation de données à caractère personnel vs. Violation déclarable

    Nous avons enfin des consignes claires de la part des régulateurs. Le mois dernier, les régulateurs européens ont apporté quelques réponses à ceux qui se sentent un peu perdus, dans un document de 30 pages détaillant les consignes à suivre pour notifier les violations, avec tableaux et graphiques à l’appui.

    Pour mémoire, le GDPR stipule qu’une violation des données à caractère personnel est une violation de la sécurité ayant conduit à « la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».

    Il s’agit du discours classique tenu par toute loi sur la confidentialité des données – commencer par définir ce qu’est une violation de données ou un événement de cybersécurité. C’est ce dont vous êtes censé vous protéger — éviter ces incidents !

    Plusieurs critères supplémentaires déterminent si les régulateurs et clients doivent être informés ou non.

    En résumé : toutes les violations de sécurité des données ne doivent pas nécessairement être signalées !

    Ce n’est pas inhabituel dans les lois sur la sécurité des données imposant de notifier les violations. Au niveau fédéral, la loi HIPAA applicable aux données médicales et les règles de cybersécurité de l’État de New York font également ces distinctions. Cela permet d’éviter que les régulateurs ne se retrouvent noyés sous les signalements de violations.

    Dans le cas du GDPR, les violations ne peuvent porter que sur des données à caractère personnel, le terme employé par l’UE pour désigner les informations personnellement identifiables, ou PII. Si votre entreprise doit appliquer le GDPR et qu’elle est visée par une attaque portant sur les schémas top-secrets de sa dernière invention, il ne s’agit pas d’une violation de données à caractère personnel, et l’incident n’a pas à être signalé. Il en va de même pour le vol d’un logiciel propriétaire ou d’autres documents confidentiels.

    Notification aux régulateurs

    Dans le cadre du GDPR, quand une entreprise ou un responsable du traitement des données doit-il signaler une violation de données à caractère personnel à l’autorité de contrôle locale ?

    La réponse figure dans l’article 33, mais elle peut manquer de clarté si l’on n’en connaît pas tout le contexte. Un responsable du traitement signale une violation des données à caractère personnel (exposition, destruction ou perte d’accès) si cette violation présente un risque pour les « droits et libertés » des citoyens européens.

    Ces droits et libertés font référence aux droits de propriété et de respect de la vie privée énoncés dans la Charte des droits fondamentaux de l’Union européenne.

    J’ai lu les directives, et tout ce que par intuition vous classeriez parmi les violations — exposition de données personnelles sensibles, vol d’un appareil contenant des données à caractère personnel, accès non autorisé à des données à caractère personnel — doit être signalé aux régulateurs.

    Et ce, dans les 72 heures ! Il y a quelques nuances et une certaine marge de manœuvre, mais j’en parlerai à la fin de ce billet.

    Le seul cas qui fait exception est celui où les données à caractère personnel sont chiffrées à l’aide d’algorithmes de haut niveau et que la clé elle-même n’est pas menacée : dans ce cas, le responsable du traitement n’a pas à signaler l’incident.

    Qu’en est-il d’une violation portant sur des données à caractère personnel, telles que définies par le GDPR, mais n’atteignant pas le seuil de « risques pour les droits et libertés » ? Encore de la paperasserie en perspective !

    Selon le GDPR, toute violation des données à caractère personnel doit être consignée dans un registre interne : « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel »— voir l’Article 33 (5).

    Ainsi, un ordinateur portable volé ou perdu contenant des données à caractère personnel chiffrées, ou l’accès non autorisé d’une employée — qui a vu certains numéros de compte clients par accident en raison d’une erreur de droits d’accès aux fichiers — ne présente pas de risques pour les droits et libertés mais devra quand même être documenté.

    Ce billet propose un diagramme de Venn, mais avant cela, regardez le graphique ci-dessous.

    GDPR
    (Source : Article 29 Working Party)

    Étudions un nouveau scénario de seuil de déclaration GDPR concernant la disponibilité ou l’altération des données à caractère personnel.

    Imaginons que des données européennes à caractère personnel deviennent indisponibles en raison d’une attaque DDoS sur une partie d’un réseau, ou suite à une suppression par une menace, mais qu’une sauvegarde reste accessible. Dans les deux cas, il y a perte de données, même si elle est temporaire — il s’agit quand même d’une violation de données à caractère personnel selon la définition du GDPR.

    Faut-il signaler l’incident à l’autorité de contrôle ? Cela dépend des cas.

    Si les utilisateurs ne peuvent accéder à leurs relevés financiers, par exemple, pendant une période relativement longue, peut-être un ou deux jours, alors cela va à l’encontre de leurs droits et libertés. Cet incident devrait être signalé à l’autorité de contrôle.

    D’après les remarques qui figurent dans la directive, cette période relativement longue est sujette à interprétation. Il n’en reste pas moins que vous devez documenter l’incident et prendre la décision qui s’impose.

    Notification des violations et Ransomware

    Après discussion avec des experts du GDPR, il s’avère que l’incertitude demeure même chez les juristes quant à savoir si les attaques de ransomware doivent être signalées ou non.

    Grâce à aux nouvelles directives, la réponse est aujourd’hui plus claire : les scénarios de ransomware sont inclus dans les analyses.

    Comme nous le savons tous, le ransomware chiffre les données de l’entreprise qui doit payer les hackers en Bitcoins afin que ceux-ci acceptent de déchiffrer et rendre les données sous forme de texte brut.

    Comme je l’ai suggéré plus haut, le GDPR considère les attaques de ransomware visant les données à caractère personnel comme une perte de données. À quel moment le seuil est-il franchi et la violation doit-elle être déclarée ?

    D’après les exemples donnés, une violation doit être signalée dans deux cas :
    1) Il existe une sauvegarde des données personnelles mais la défaillance provoquée par l’attaque a un impact sur les utilisateurs ;
    2) Il n’existe aucune sauvegarde des données personnelles.

    En théorie, une très courte attaque de ransomware résolue rapidement ne nécessite pas d’être signalée. En pratique, compte tenu du temps pris par l’analyse et le rétablissement, la plupart des attaques de ransomware devraient être déclarées.

    Communication aux personnes concernées

    Le niveau suivant de signalement est une violation des données à caractère personnel présentant un risque « élevé pour les droits et libertés. » Ces violations doivent être signalées aux personnes concernées.

    En termes de diagrammes et sous-ensembles de Venn, on peut affirmer que toute violation de données à caractère personnel signalée aux personnes concernées doit également être déclarée à l’autorité de contrôle.

    Quand une violation des données à caractère personnel présente-t-elle un risque élevé ?

    Nous devons faire appel à notre intuition, et les directives donnent comme exemple des violations de données médicales ou financières (numéros de carte de crédit et de compte bancaire).

    Mais il existe d’autres exemples en dehors du contexte médical ou bancaire. Si la violation des données à caractère personnel concerne les noms et adresses des clients d’un vendeur au détail ayant demandé à être livrés en vacances, le risque serait élevé et exigerait de contacter les personnes concernées.

    Une violation portant seulement sur les informations de contact (nom, adresse, adresse e-mail, etc.) n’exige pas obligatoirement d’être déclarée. Par contre, si la violation touche un nombre important de personnes, l’autorité de contrôle et les personnes concernées devraient alors être averties. D’après les directives, la taille de la violation est importante. Ainsi, une exposition des adresses e-mail comme celle de Yahoo conduirait à des signalements.

    Les directives soulignent le fait que si les informations de contact incluent d’autres informations sensibles (psychologiques, ethniques, etc.), alors l’incident devrait être signalé, quel que soit le nombre de personnes affectées.

    GDPR
    Remarque : une violation minime des adresses e-mail sans autre information confidentielle n’a pas à être signalée. (Source : Article 29 Working Party)

    Ou, par exemple, si les informations de contact ou adresses e-mail piratées sont celles d’un site Web pour enfant, il s’agit là d’un groupe particulièrement vulnérable. Le risque serait alors élevé et devrait être signalé aux personnes concernées.

    Notification par étapes des violations

    Si la règle de notification des violations sous 72 heures du GDPR a fait des vagues, elle est en fait plus souple qu’il n’y paraît lorsque l’on prend le temps de lire les lignes en petits caractères.

    La première information à retenir est que l’horloge commence à tourner lorsque le responsable du traitement a connaissance de la violation des données à caractère personnel.

    Par exemple, supposons qu’une organisation détecte une intrusion sur son réseau. Le délai de 72 heures n’a pas encore commencé.

    Une enquête est ensuite menée pour déterminer si des données à caractère personnel ont été violées. L’horloge n’a toujours pas commencé à tourner. Lorsque l’équipe de sécurité informatique découvre avec une certitude raisonnable que des données à caractère personnel ont été violées, alors seulement le compte à rebours est enclenché !

    Lorsqu’il notifie l’autorité de contrôle, le responsable du traitement peut procéder par étapes.

    Il est parfaitement acceptable de notifier l’autorité de contrôle au moment de la découverte (ou de la suspicion) d’une violation des données à caractère personnel et de lui indiquer qu’une enquête supplémentaire est nécessaire pour obtenir plus de détails — voir Article 33 (4). Cette procédure, qui peut durer plus de 72 heures, est autorisée par le GDPR.

    S’il s’avère qu’il s’agissait d’une fausse alerte, vous pouvez demander à l’autorité de contrôle d’annuler la notification.

    Dans le cas d’une violation de données à caractère personnel dont on découvre qu’elle présente un risque élevé pour les individus, le signalement aux « personnes concernées » doit avoir lieu « dans les meilleurs délais » — voir Article 34 (1). L’objectif est d’informer les clients de la façon dont ils ont été affectés et de ce qu’ils doivent faire pour se protéger.

    Détails de la notification

    Ceci nous mène au dernier thème abordé par ce billet épique : que dire à l’autorité de contrôle et aux personnes concernées ?

    Concernant l’autorité de contrôle, l’Article 33 dit ceci :

    • décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
    • communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
    • décrire les conséquences probables de la violation de données à caractère personnel ;
    • décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

    Notez qu’il est nécessaire de fournir le détail des catégories de données et du nombre approximatif d’enregistrements concernés.

    L’autorité de contrôle peut demander des informations supplémentaires. La liste ci-dessus indique les informations que le responsable du traitement doit fournir au minimum.

    Lorsqu’il avertit les personnes concernées (voir Article 34), le responsable du traitement doit fournir les précisions suivantes :

    • une description de la nature de la violation ;
    • le nom et les informations de contact du Délégué à la protection des données ou d’un autre point de contact ;
    • une description des conséquences possibles de la violation ; et
    • une description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation, notamment toute mesure appliquée pour limiter les effets négatifs possibles.

    Le GDPR préfère que le responsable du traitement contacte directement les personnes concernées plutôt qu’elles apprennent la violation dans les médias. Il peut les contacter par e-mail, SMS ou courrier postal.

    Concernant les communications groupées, l’insertion de bannières bien visibles sur les sites Web, et la publication de billets de blog ou communiqués de presse font parfaitement l’affaire.

    Le document de directives sur la notification des violations selon le GDPR, publié le mois dernier, fait 30 pages. En tant qu’informaticien, vous n’en apprécierez pas toutes les subtilités.

    Vous aurez besoin de l’aide d’un juriste (le conseiller de votre entreprise, votre CPO, CLO, etc.) pour comprendre ce qu’impliquent ces directives sur le GDPR et les autres lois associées.

    Ce qui nous amène à cette dernière réflexion : faire face à une violation est un travail d’équipe entre l’informatique et les services juridiques, des communications, des opérations, des relations publiques, généralement au niveau de la direction. Le service informatique ne peut y arriver seul.

    La première chose à faire est de mettre en place un plan de réponse aux incidents.

    Pour obtenir des informations sur la conformité en matière de sécurité des données et de respect de la vie privée, consultez le site Web de l’IAAP (International Association of Privacy Professionals (IAPP) : https://iapp.org/, qui contient de précieuses ressources.

    L’IAPP propose également un kit d’outils de réponse aux incidents constitué par nos amis juristes de Hogan Lovells. Consultez-le ici.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    Conformité à la loi sur la confidentialité de l’Illinois  tout ce que vous devez savoir
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    David Harrington
    9 février 2023
    The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    En quoi consiste la gouvernance des données ? Cadre et bonnes pratiques
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    David Harrington
    22 juillet 2022
    La gouvernance des données facilite l’organisation, la sécurisation et la normalisation des données de tous types d’organisations. Pour en savoir plus sur les cadres de gouvernance des données, cliquez ici.
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Qu’est-ce que le cadre de cybersécurité NIST ?
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Josue Ledesma
    13 juin 2022
    Découvrez comment mettre en œuvre le cadre de cybersécurité NIST dans votre entreprise.
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    En quoi consiste la conformité à la DSP2 et qu’implique-t-elle pour votre entreprise ?
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    David Harrington
    5 août 2021
    La directive DSP2 de l’UE encourage l’innovation financière tout en imposant de meilleurs dispositifs de protection des consommateurs. Découvrez en quoi consiste la conformité à la DSP2 et ce qu’elle implique pour votre entreprise.