Savez-vous gérer une violation de données ?

Depuis le 25 mai 2018, un responsable de traitement ne peut plus détourner les yeux en cas d’incident de sécurité impactant les données personnelles qu’il traite et doit – dans certaines circonstances – notifier la violation de données à la CNIL, voire la communiquer aux 'victimes'.

Mais, au-delà de la théorie, de nombreuses questions pratiques se posent aux Délégués à la Protection des Données.

Cher confrère, nous vous proposons de répondre à ce quiz qui aborde quelques sujets qui se posent quand on souhaite respecter le RGPD.

Et voici quelques exemples de questions auxquelles vous êtes invités à répondre :

La notification auprès de la CNIL : obligation de résultat ou de moyens ?
Une seule personne est concernée par la violation : sommes-nous obligés de notifier ?
Mon responsable de traitement décide de ne pas notifier (alors qu'il le devrait) : quelles conséquences ?
À quoi doit ressembler la « documentation » exigée par l’article 33.5 du RGPD (le « registre des violations ») ?
L’un de nos collaborateurs a perdu une clé USB contenant de nombreuses données personnelles. À quelle condition serions-nous exemptés d’avoir à notifier la violation de données ?
À partir de quand démarrent les « 72 heures » attendues pour réaliser la notification auprès de la CNIL ?
Combien de temps maximum doit-on laisser à ses sous-traitants pour nous signaler un incident ?
Et en cas de responsabilité conjointe, qui doit notifier ?

C’est à vous !
--
Christophe Champoussin, Gérant d’Anaxia Conseil / Responsable pédagogique

- Vous devez répondre à toutes les questions
- Les questions qui appellent une réponse unique voient les propositions précédées d'un rond
- Les questions qui appellent une ou plusieurs réponses voient les propositions précédées d'un carré

_{Les données de ce formulaire sont recueillies par ANAXIA CONSEIL au titre de son intérêt légitime à développer son activité de formation ; elle sont destinées au service formation et}_{conservées pour une durée maximale de 3 ans après la fin de la relation commerciale, ou après votre dernière demande, puis seront anonymisées. Conformément à la loi "Informatique et Libertés" du 6 janvier 1978 modifiée et au Règlement Européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, vous disposez d'un droit d'accès et de rectification aux informations qui vous concernent ainsi que d'un droit d'opposition, du droit à la limitation du traitement et à l'effacement dans le cadre de la réglementation en vigueur. Vous pouvez exercer ces droits par courrier postal (joindre un justificatif d’identité) auprès de ANAXIA CONSEIL • 400 Avenue Roumanille • Village Greenside • BP 309 • 06906 SOPHIA ANTIPOLIS Cedex. Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL. Pour votre parfaite information, ANAXIA CONSEIL a désigné un délégué à la protection des données, que vous pouvez joindre à l’adresse mail dpo@anaxia-conseil.fr.}

La notification auprès de la CNIL : obligation de résultat ou de moyens ? *

Il s’agit d’une obligation de résultat

Il ne s’agit que d’une obligation de moyen

Notre site web est indisponible une heure ; s’agit-il d’une violation de données devant être notifiée ? *

En aucun cas

Oui, dans tous les cas

Cela dépend des impacts pour les personnes concernées (l’indisponibilité peut-elle leur causer un préjudice ?)

Nous sommes victimes d’un ransomware et ne disposons pas de sauvegarde ; s’agit-il d’une violation de données devant être notifiée ? *

Non, car le pirate n’a pas récupéré les données personnelles

Oui, car il y a perte de disponibilité définitive

Nous sommes victimes d’un ransomware et avons restauré très rapidement les données ; s’agit-il d’une violation de données devant être notifiée ? *

Oui, le fait d’avoir restauré les données n’y change rien

Non, car la perte de disponibilité est restée limitée dans le temps, sans impact pour les personnes

Nous découvrons une faille de sécurité dans notre site web par laquelle un pirate peut accéder à nos données ; est-ce une violation devant être notifiée ? *

Oui, même si le dispositif de traçabilité ne montre aucune intrusion

Non ; pour que la violation soit constituée, il faudrait que les traces montrent une intrusion

Une seule personne est concernée par la violation ; sommes-nous obligés de notifier ? *

Si la violation est susceptible de faire peser un risque pour cette personne, oui

Non, le nombre de « victimes » n’est pas suffisant pour être obligé de notifier

Mon responsable de traitement décide de ne pas notifier (alors qu'il le devrait) : quelles conséquences ? *

Aucune, car la notification est une obligation de moyen

Il risque une amende administrative pouvant s'élever jusqu'à dix millions d’Euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu

L’un de nos collaborateurs a perdu une clé USB contenant de nombreuses données personnelles ; à quelle condition serions-nous exemptés d’avoir à notifier la violation de données ? *

Aucune ; cette violation doit obligatoirement être notifiée à la CNIL

Si la clé était chiffrée en respect de l’état de l’art, il suffit de documenter la violation (pas de la notifier à la CNIL)

Qui devrait « qualifier » (décider) si un incident est une violation de données au sens du RGPD ? *

Le responsable de traitement, conseillé par son DPO

Le RSSI seul

Le DPO seul

Qui au final décide si la violation doit être notifiée auprès de la CNIL ? *

Le responsable de traitement, conseillé par son DPO

Le RSSI seul

Le DPO seul

Qui au final décide si la violation doit être communiquée aux personnes concernées ? *

Le responsable de traitement, conseillé par son DPO

Le RSSI seul

Le DPO seul

À partir de quand démarrent les « 72 heures » attendues par la CNIL pour réaliser la notification auprès d’elle ? *

Uniquement quand le dirigeant de l’entreprise en est informé

Dès que le moindre membre du personnel (stagiaire, prestataire, alternant, cadre, dirigeant, ...) en a connaissance

Seulement quand le DPO en est informé

Seulement quand le RSSI en est informé

Les « 72 heures » attendues par la CNIL pour réaliser la notification auprès d’elle sont-elles … *

Uniquement des heures ouvrables (une violation découverte le vendredi à 17h00 doit être notifiée avant le mercredi 17h00, les samedi et dimanche étant « neutralisés »)

Uniquement des heures ouvrées (une violation découverte le vendredi à 17h00 doit être notifiée avant le mardi 17h00, le dimanche étant « neutralisé »)

Des heures « naturelles » (une violation découverte le vendredi à 17h00 doit être notifiée avant le lundi 17h00)

C’est la « victime » elle-même qui nous a signalé la violation ; doit-on tout de même lui « communiquer » au titre de l’article 34 du RGPD ? *

Oui, le RGPD n’a pas prévu d’exemption dans ce cas

C’est fortement recommandé

Ce n’est pas nécessaire

Que dire aux personnes concernées dans la communication prévue par l’article 34 du RGPD ? *

Il faut décrire en détail la vulnérabilité qui est à la source de la violation

Il faut indiquer un point de contact, décrire les conséquences probables de la violation et les mesures prises pour réduire les éventuelles conséquences négatives

Il est recommandé d’indiquer les mesures que devraient prendre les personnes pour se protéger (changer leur mot de passe, se montrer prudentes à la réception de messages atypiques, …)

Qui doit signer la communication aux personnes concernées ? *

Obligatoirement le représentant du responsable de traitement

Obligatoirement le Délégué à la Protection des Données

Le RGPD ne le précise pas et cela demande à être étudié en amont

Doit-on fournir des précisions sur l’incident lui-même dans la communication aux personnes concernées ? *

Oui, le RGPD l’exige

Non, dans la mesure où cela pourrait aider des cyberattaquants

Devons-nous préparer des projets de communication aux personnes concernées ? *

Ce n’est pas utile ; autant faire cela au dernier moment

C’est recommandé, en lien avec plusieurs directions (juridique, communication, relations clients, …)

Et en cas de responsabilité conjointe, qui doit notifier la violation à la CNIL ? *

Chaque responsable conjoint doit notifier la violation à la CNIL (qui reçoit donc autant de notifications que de responsables)

Uniquement celui concerné par la violation

Celui qui était chargé de cela au sein de l’accord préalable prévu à l’article 26.1 du RGPD

En cas de communication aux « victimes », l'article 33.3.b oblige à indiquer le nom et les coordonnées du délégué à la protection des données *

C’est vrai, et je me suis préparé à échanger avec les personnes concernées

L’article indique qu’ « un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues » peut être indiqué

À quoi doit ressembler la « documentation » exigée par l’article 33.5 du RGPD (le « registre des violations ») ? *

Il s’agit d’un document dédié et structuré, qui référence chaque violation de données et indique pour chacune les faits, ses effets et les mesures prises pour y remédier

Aucune structure particulière ne peut être exigée par les autorités de contrôle, du moment que la documentation lui permet de vérifier le respect de l’article 33 du RGPD

L’un de nos salariés ne retrouve pas une clé USB non chiffrée dans laquelle figure toutes les données personnelles de nos patients ; est-ce une violation de données ? *

Pas encore. ; ce n’est qu’une fois que le salarié aura cherché une nouvelle fois (à son domicile, dans son bureau, auprès de ses collègues, ...) que nous pourrons envisager de considérer cela comme une violation de données

Nous partons du principe que personne ne va retrouver cette clé ; et quand bien même, la personne qui la retrouverait n’est sans doute pas très intéressée par son contenu. Donc pas de violation.

Si le salarié a pris la peine de signaler la perte de sa clé, c’est qu’il a déjà procédé à des recherches sérieuses. Il s’agit donc bien d’une violation de données par perte de confidentialité (la clé n’étant pas chiffrée).

L’un de nos salariés perd une clé USB chiffrée selon l’état de l’art dans laquelle figure toutes les données personnelles de nos patients ; est-ce une violation de données et devons-nous la notifier à la CNIL ? *

Ce n’est pas une violation car la clé est chiffrée

C’est bien une violation, mais qui n’a pas besoin d’être notifiée à la CNIL car la clé est chiffrée selon l’état de l’art. Pas besoin non plus de la documenter.

C’est bien une violation, mais qui n’a pas besoin d’être notifiée à la CNIL car la clé est chiffrée selon l’état de l’art. Mais il faut la documenter.

C’est bien une violation, qui doit être notifiée à la CNIL

La violation a pour origine une erreur commise par une personne concernée ; devons-nous tout de même la notifier à la CNIL ? *

Non, bien sûr

Le RGPD n’a pas prévu d’exemption dans ce cas ; si la violation est susceptible de faire courir un risque à la personne (ou à d’autres personnes concernées), il faut notifier

Il est utile d’étudier toute amélioration du traitement pour limiter le risque d’erreur du type commis par la personne concernée

Combien de temps maximum doit-on laisser à ses sous-traitants pour nous signaler un incident ? *

Le RGPD précise « 72 heures », ce qu’il faut imposer systématiquement dans les clauses de sous-traitance

Le RGPD précise « 48 heures », ce qu’il faut imposer systématiquement dans les clauses de sous-traitance

Le RGPD indique « dans les meilleurs délais après en avoir pris connaissance »

Il nous appartient de déterminer le délai maximal, en fonction de la criticité de la prestation confiée et de notre propre capacité à recevoir et à traiter le signalement

Un incident se produit chez notre sous-traitant et concerne les données que nous lui avons confiées ; qui décide s’il s’agit d’une violation de données au sens du RGPD ? *

Le sous-traitant ; c’est ce que prévoit le modèle de clauses RGPD de sous-traitance proposé par la CNIL

Nous même, sur la base des éléments que notre sous-traitant nous a communiqués et après analyse

Un incident survient chez notre sous-traitant (et concerne les données que nous lui avons confiées). Cet incident est qualifié de violation devant être notifiée auprès de la CNIL. Qui doit le faire ? *

Notre sous-traitant (il nous en informe après)

Notre sous-traitant, après nous en avoir prévenus

Nous-même, après avoir été informé par notre sous-traitant

L’incident survient chez le sous-traitant de notre sous-traitant (et concerne les données que nous avons confiées à notre propre sous-traitant) *

Cela ne nous concerne pas ; c’est à notre propre sous-traitant de gérer cela et de notifier la violation à la CNIL

Nous sommes pleinement concernés et il nous revient de notifier la violation à la CNIL (si cela est pertinent)

Avant de notifier la violation à la CNIL, voire de la communiquer aux personnes concernées, devons-nous soumettre nos projets à notre sous-traitant ? *

Certains sous-traitants l’imposent dans leurs conditions générales !

Le RGPD ne le prévoit pas

Il est prudent d’informer le sous-traitant (mais pas de lui « soumettre » le projet) pour veiller à ce qu’il fournisse à la CNIL des réponses cohérentes si jamais il est l’objet d’un contrôle à la suite de notre notification

La CNIL peut-elle diligenter une mission de contrôle à la suite de l’une de nos notifications de violation ? *

Non ; le RGPD ne le lui permet pas

Elle en a la possibilité mais cela ne s’est jamais produit

Elle en a la possibilité et cela s’est déjà produit

Nous avons communiqué une violation aux personnes concernées. Certaines d’entre elles se plaignent auprès de la CNIL. Que va faire l’autorité ? *

Rien, puisque vous avez notifié (elle est déjà informée de la violation)

Elle peut diligenter un contrôle pour vérifier que vous lui avez communiqué toutes les informations concernant la violation

Nous ne disposons pas encore de toutes les informations concernant l’incident, mais il est d’ores et déjà établi qu’il présente un risque élevé pour les personnes concernées ; que faire ? *

Réaliser une notification « initiale » auprès de la CNIL et communiquer aux personnes dès que possible

Attendre d’avoir plus d’informations sur l’incident et réaliser une notification « complète » auprès de la CNIL, puis seulement communiquer aux personnes

L’un de nos collaborateurs a envoyé par erreur un email à un grand nombre de nos prospects et clients, en mettant leur adresse en « Copie » (au lieu de copie cachée). Est-ce une violation et devons-nous la notifier ? *

Non, puisqu’il s’agit d’une erreur humaine et non d’une attaque informatique

Oui, car il s’agit d’une perte de confidentialité

L’un de nos traitements Ressources humaines a mal été configuré. Des salariés qui n’appartiennent pas au service RH en ont pris connaissance. Est-ce une violation et devons-nous la notifier ? *

Non, puisqu’il s’agit d’une erreur humaine et non d’une attaque informatique

Non, car les personnes qui ont pris connaissance des informations sont des salariés

Oui, car il s’agit d’une perte de confidentialité

Que peut-il se passer après que nous avons notifié une violation de données à la CNIL ? *

Rien ; le système d’information de l’autorité se contente de vous renvoyer un accusé de réception

L’accusé de réception indique que la CNIL se donne une semaine pour revenir vers vous ; passé ce délai, vous êtes à l’abri de tout contrôle et de toute poursuite

L’accusé de réception indique que la CNIL se donne deux mois pour revenir vers vous ; passé ce délai, vous êtes à l’abri de tout contrôle et de toute poursuite

Tout est encore possible, même passé le délai de deux mois indiqué dans l’accusé de réception de la CNIL (notamment si les personnes concernées se manifestent)

Nous avons réalisé une notification « complète » auprès de la CNIL, mais venons de réaliser que nous avons commis une erreur ; que faire ? *

Rien ; attendons que la CNIL nous contacte éventuellement

Le téléservice de la CNIL vous permet de « rappeler » votre notification et de la modifier

Le téléservice de la CNIL ne vous permet pas de « rappeler » votre notification ; vous devez écrire à la CNIL pour signaler votre erreur

Nous avons réalisé une notification « complète » auprès de la CNIL. Nos investigations viennent juste de révéler un risque important que nous n’avons pas documenté auprès de la CNIL. Que faire ? *

Rien ; attendons que la CNIL nous contacte éventuellement

Le téléservice de la CNIL vous permet de « rappeler » votre notification et de l’enrichir de ce nouveau risque

Le téléservice de la CNIL ne vous permet pas de « rappeler » votre notification ; vous devez écrire à la CNIL pour signaler tout élément nouveau

Qui signe la communication aux personnes concernées ? *

Le RGPD exige qu’elle porte la signature du représentant du responsable de traitement

Le RSSI

Le DPO

Cela doit s’étudier en amont

Par quel media communiquer la violation aux personnes concernées ? *

Obligatoirement par courrier postal

Obligatoirement par courrier électronique

Par tout moyen

Un responsable de traitement européen a-t-il déjà été condamné à dédommager des « victimes » d’une violation de données ? *

Non, pas encore

Oui, dans un moins un cas en Allemagne

Quelles articulations entre Privacy by Design, notification des violations de données et analyse d’impact ? *

Aucune ; ces sujets sont abordés dans des articles différents du RGPD et n’ont pas à être « liés »

En cas de violation de données, le réflexe devait être de consulter l’AIPD qui a (peut-être) été réalisée. Y avions-nous prévu l’incident qui vient de se produire ? Pourquoi la mesure de traitement du risque n’a-t-elle pas permis d’éviter la violation ?

Le Privacy by Design intégrant le Security by Design, cette démarche réduit le risque d’une violation de données

Une violation de données présente un niveau de risque élevé pour les personnes qui oblige votre responsable de traitement à la communiquer aux personnes concernées. Le traitement concerné n’a pas fait l’objet d’un PIA. Qu’en pensez-vous ? *

Aucune importance, le RGPD n’établit aucun lien entre les articles consacrés à la violation de données et ceux relatifs aux AIPD

Ce n’est pas normal ; en cas de risque élevé potentiel pour les personnes, une AIPD aurait dû être réalisée

Une personne demande à la CNIL de lui communiquer la notification de violation de données que vous avez réalisée auprès de la Commission au titre du CRPA (Code des Relations entre le Public et l'Administration). Que va faire la CNIL ? *

Ne rien transmettre

Transmettre votre notification (intégralement, sans rien masquer)

Transmettre votre notification après y avoir masqué des passages qui peuvent vous être préjudiciable ou impacter la sécurité de votre système d'information (mais sans vous demander votre avis)

Transmettre votre notification après y avoir masqué des passages qui peuvent vous être préjudiciable ou impacter la sécurité de votre système d'information, mais après vous avoir demandé votre avis

Contacter l'auteur⋅rice de ce formulaire

Pour contacter l'auteur⋅rice de ce formulaire, cliquez ici

Ne communiquez aucun mot de passe via Framaforms.

Savez-vous gérer une violation de données ?

Contacter l'auteur⋅rice de ce formulaire

Propulsé par Yakforms