Depuis le 25 mai 2018, une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel doit être gérée en respect des exigences des article 33 et 34 du règlement général sur la protection des données (RGPD).
Les informations sur la gestion des violations de données et les démarches à effectuer sont accessibles dans la partie "violation des données".
Dans un objectif de transparence, et afin de sensibiliser les responsables de traitement et sous-traitants, la CNPD partage ses premiers retours d’expérience concernant les violations qui ont été notifiées depuis l’entrée en vigueur du RGPD.
Nombre de violations de données déclarées (25 mai 2018 - 27 septembre 2018)
Causes des violations (25 mai 2018 - 27 septembre 2018)
- Une violation de données à caractère personnel peut être liée à un acte externe ou à un acte interne, malveillant ou non-malveillant. Le tableau ci-dessous fourni des exemples concrets qui ont été notifiés :
|
Actes malveillants |
Actes non-malveillants |
Actes internes |
|
|
Actes externes |
|
|
- La cause d’environ la moitié des incidents est liée à des erreurs humaines (erreurs de manipulation / erreurs d’inattention / non-respect de la politique de sécurité de l’organisation). Exemple d’un non-respect de la politique de sécurité de l’organisation : Un employé (y inclus les membres de la direction) transfert sans contrôle / autorisation des données de clients de l’organisation sur son ordinateur personnel ou un service de webmail tiers pour travailler depuis son domicile; (l’ordinateur / le service webmail est ensuite la cible d’un piratage)
- Un certain nombre d’actes externes malveillants ciblés ont eu pour objectif le gain financier : récupérer des informations de paiement, détourner la destination de paiement, obtention de renseignement financier, …
- Certaines violations (autres) sont liées à des erreurs techniques / de développement ayant entrainé la divulgation de données à caractère personnel à la mauvaise personne (exemple : mise en place d’un nouveau service client web)
Nature des incidents (25 mai 2018 - 27 septembre 2018)
- Un tiers des incidents sont liés à des accidents dans le cadre d’envois de courriels. Dans la grande majorité des cas ces envois se sont faits de manière manuelle sans contrôles supplémentaires. La fréquence et l’impact de ces incidents peuvent être limités notamment à travers des campagnes de sensibilisation, plus de rigueur procédurale et/ou le recours à des outils.
- Un quart des incidents sont liés à un piratage ou hacking externe. La fréquence et la probabilité de ces incidents peuvent être limitées à travers des mesures de sécurité techniques et organisationnelles.
Nature de l’impact (25 mai 2018 - 27 septembre 2018)
Confidentialité, intégrité et disponibilité
La plupart des violations de données à caractère personnel concerne une atteinte à la confidentialité des données : accès aux données par des tiers externes et internes non autorisés.
Exemple de perte de confidentialité de données liés à des tiers internes: Les données des ressources humaines ont pu être accédées par les employés internes à l’organisation à cause d’une mauvaise configuration technique des droits d’accès sur le serveur de fichiers.
Sévérité de l’impact potentiel pour les personnes concernées par une violation de données (au 27 septembre 2018)
Afin d’évaluer l’impact potentiel d’une violation de données sur les personnes concernées, il est nécessaire de prendre en compte le contexte lié à l’incident.
Exemple :
Cas : Les données financières de clients envoyées à un mauvais sous-traitant
- Acte interne non malveillant
- Le destinataire des données est un acteur régulé du secteur financier; ce dernier avertit l’expéditeur de l’erreur et confirme la suppression des données reçues par erreur
- De par la nature des données, un risque pour les personnes concernés est avéré
- La sévérité de l’impact potentiel pour les personnes concernées peut être considérée comme limitée
- Une notification à la CNPD est nécessaire
- Information aux personnes concernées potentiellement non nécessaire
Cas : Les mêmes données financières faisant l’objet d’un piratage :
- Acte malveillant externe
- L’objectif du piratage peut être d’exploiter ces données afin d’obtenir des gains financiers de manière frauduleuse ayant pour conséquence une perte financière pour les personnes concernées.
- La sévérité de l’impact potentiel pour les personnes concernées doit être considérée comme significative, voir maximale
- Une notification à la CNPD est nécessaire
- Information aux personnes concernées nécessaire
Informations complémentaires :
L’objectif de la CNPD dans sa mission en lien avec les violations de données est de s’assurer que les responsables de traitement gèrent les violations conformément à la législation : détecter et traiter les incidents et, le cas échéant, informer les personnes concernées afin que ces dernières puissent se protéger contre les conséquences possibles d’une violation de leurs données à caractère personnel.
Suivant les exigences du RGPD, le cas échéant, ne pas notifier la CNPD ou ne pas informer les personnes concernées par une violation de données peut entraîner une sanction du responsable de traitement.