Aller au contenu principal
HubSecure
Menu

Blog

Qu'est-ce qu'une violation de données et que doit faire votre entreprise dans les 72 premières heures ?

Une violation de données ne doit pas nécessairement être une cyberattaque. Cela peut être un e-mail mal envoyé, un ordinateur portable volé ou un dossier cloud non sécurisé. Voici ce que la loi exige et que faire immédiatement lorsque cela se produit.

· Par HubSecure Security

La plupart des chefs d’entreprise imaginent une violation de données comme une cyberattaque dramatique : des hackers masqués, des serveurs compromis, des demandes de rançon. La réalité est plus banale et bien plus courante. Une violation de données est tout incident dans lequel des données personnelles sont accédées, divulguées, modifiées, perdues ou détruites de manière accidentelle ou illicite — qu’il s’agisse ou non d’un acte intentionnel.

Cet e-mail mal dirigé contenant les informations financières d’un client. L’ordinateur portable oublié dans le train. Le dossier Google Drive partagé qui a été accidentellement rendu public. L’ex-employé dont l’accès n’a jamais été révoqué. En vertu du RGPD et de la plupart des lois nationales sur la protection des données, tous ces cas constituent des violations de données notifiables si elles atteignent le seuil de risque pour les droits et libertés des personnes.

Et une fois que cela se produit, vous disposez de 72 heures pour notifier votre autorité de contrôle.

Ce qui constitue une violation de données à caractère personnel

Une violation ne nécessite pas d’intention malveillante. La définition légale couvre trois types de défaillances :

Violation de la confidentialité : divulgation non autorisée ou accidentelle de données à caractère personnel.

Violation de l’intégrité : modification non autorisée ou accidentelle de données à caractère personnel.

Violation de la disponibilité : perte accidentelle ou non autorisée de l’accès aux données à caractère personnel — les données sont perdues, chiffrées par un ransomware ou supprimées sans possibilité de récupération.

Le seuil de risque

Toute violation ne doit pas nécessairement être signalée à l’autorité de contrôle. La notification est requise lorsque la violation « est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ». La notification directe aux personnes concernées est requise lorsque le risque est « élevé ».

En cas de doute, notifiez. Les autorités de contrôle traitent une notification tardive bien plus sévèrement qu’une notification trop prudente.

L’horloge des 72 heures

À partir du moment où votre organisation prend « connaissance » d’une violation — c’est-à-dire dès qu’un membre du personnel raisonnablement considéré comme responsable en a connaissance — l’horloge commence. Vous disposez de 72 heures pour notifier votre autorité de contrôle.

Cela ne signifie pas que vous devez avoir toutes les réponses dans les 72 heures. La notification initiale peut reconnaître ce que vous savez, ce que vous ne savez pas encore et les mesures que vous prenez pour le découvrir.

Ce que votre notification initiale doit contenir

  • Nature de la violation : quel type de données a été affecté, qui a été touché et combien de dossiers approximativement
  • Nom et coordonnées de votre DPO ou de la personne responsable de la protection des données
  • Conséquences probables de la violation
  • Mesures prises ou proposées pour remédier à la violation et en atténuer les effets

Les actions à entreprendre immédiatement

Première heure : Contenir Révoquez les identifiants d’accès compromis. Mettez les systèmes affectés hors ligne si nécessaire. Sécurisez ou récupérez les données exposées si possible. Documentez chaque action prise à partir de ce moment.

Heures 1-12 : Évaluer Identifiez quelles données ont été affectées et à qui elles appartiennent. Déterminez si la violation est en cours ou contenue. Établissez la cause probable. Désignez un responsable de l’incident. Commencez le journal documenté de votre réponse.

Heures 12-48 : Décider Évaluez le risque. Prenez une décision documentée sur la nécessité ou non d’une notification. Si une notification est requise, commencez à la rédiger.

Heures 48-72 : Notifier Soumettez la notification à votre autorité de contrôle. Si les personnes concernées sont exposées à un risque élevé, notifiez-les directement avec une communication claire expliquant ce qui s’est passé, quelles données étaient impliquées, quelles mesures vous avez prises et ce qu’elles devraient faire.

Le registre des violations

Le RGPD et la plupart des lois équivalentes exigent que vous mainteniez un registre interne de toutes les violations, y compris celles qui n’atteignent pas le seuil de notification. Ce registre doit inclure : la date et la nature de la violation, ses effets et les mesures correctives prises.

Ce que recherche l’autorité de contrôle

Lorsqu’une violation est signalée, l’autorité évalue deux choses : la violation elle-même et votre réponse à celle-ci. Les organisations qui réagissent bien — en contenant rapidement, en notifiant promptement et en communiquant clairement avec les personnes affectées — reçoivent systématiquement des sanctions moins lourdes.

Le pire résultat n’est pas une violation. C’est une violation découverte par l’autorité de régulation via une plainte d’une personne concernée, des semaines après qu’elle s’est produite, sans notification, sans registre de violations et sans aucune preuve de réponse.