10/11/16

Données personnelles, épisode 4 – La publicité des failles de sécurité : vers davantage de transparence en cas de cyberattaque

holding privacy settings smartphoneLe 25 mai 2018, tous les organismes publics et privés devront avoir mis en place l’ensemble des moyens techniques et organisationnels prévus par le règlement européen sur la protection des données personnelles.

Dans l’épisode précédent, nous vous présentions le rôle du délégué à la protection des données, découvrez aujourd’hui le 4e épisode : Saison 1 épisode 4 : La publicité des failles de sécurité.

A l’instar de Yahoo, du Parti Socialiste ou encore de l’enseigne Cdiscount, la presse fait régulièrement état de failles de sécurité majeures subies par des entreprises ou organismes publics, venant ainsi sensibiliser l’opinion publique quant à l’importance de la sécurité accordée aux données à caractère personnel, mais aussi fragiliser la confiance en ces derniers.

Le législateur européen souhaite faire de la publicité des failles de sécurité un principe directeur du nouveau droit des données à caractère personnel et de la lutte contre la cybercriminalité.

Dans un souci de responsabilisation des entreprises, le Règlement européen vient soumettre l’ensemble des responsables de traitement à l’obligation de (i) notifier toute faille de sécurité aux autorités nationales compétentes mais aussi d’(ii) informer les personnes physiques concernées par une telle faille.

  • L’obligation de notifier toute faille de sécurité à l’autorité de contrôle

L’article 33 du Règlement prévoit qu’en cas de violation de données à caractère personnel, le responsable de traitement devra notifier cette dernière à l’autorité de contrôle compétente (la CNIL) « dans les meilleurs délais et si possible 72 heures au plus tard après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

Il est précisé que toute notification effectuée au-delà du délai maximum de 72 heures devra être motivée afin d’expliquer le retard pris dans l’exécution de l’obligation de notification. 

  • L’obligation d’informer individuellement les personnes physiques concernées par une faille de sécurité

L’article 34 prévoit que « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable de traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».

La communication devra être effectuée dans les meilleurs délais (il n’est pas fait état d’un délai maximum) et individuellement, sauf à ce que cela exige de la part du responsable de traitement des « efforts disproportionnés ». Dans ce cas, la communication sera faite publiquement. Mais il sera compliqué de faire état du caractère disproportionné des efforts réalisés par le responsable de traitement qui dispose en principe quasiment toujours, a minima d’une adresse email ou d’un numéro de téléphone.

L’article 34 du Règlement précise que si une telle communication n’a pas été faite spontanément par le responsable de traitement, l’autorité de contrôle pourra, au regard de la gravité de la situation, exiger de ce dernier qu’il y procède.

Les responsables de traitement devront rendre des comptes aux autorités compétentes mais aussi à leurs clients et salariés en cas d’atteinte à leur système d’information, ce qui constitue, au-delà de la sanction financière encourue, une sanction implacable venant impacter directement leur réputation. Il est par conséquent, urgent pour ces derniers d’anticiper et de limiter les risques de cyber-attaques, en mettant en place une véritable politique de sécurité du système d’information (PSSI), laquelle devra être assortie d’une politique de protection des données à caractère personnel.

A suivreDans le prochain épisode, nos experts analyseront l’impact relatif à la protection des données et ses conséquences pour les entreprises ?

Retrouvez ici notre site internet dédié à la protection des données personnelles.

Lire aussi :
Nouveau règlement sur les données personnelles : le délégué à la protection des données
Données personnelles – Episode 2 : l’établissement de normes internes protégeant les données à caractère personnel ou « Accountability »

 


Mots-clés : , ,


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *