Le CEPD a adopté, le 14 janvier 2021, des lignes directrices visant à aider les responsables de traitement à gérer les violations de données, et notamment à évaluer des risques.
Le RGPD définit la violation de données comme : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Le RGPD impose aux responsables du traitement :
- de documenter les violations de données, par exemple au moyen d’un registre des violations ;
- de notifier à l’autorité de contrôle les violations de données susceptibles d’engendrer un « risque pour les droits et libertés des personnes physiques» ;
- de communiquer les violations de données susceptibles d’engendrer un « risque élevé pour les droits et libertés des personnes physiques» aux personnes concernées.
Afin d’aider les responsables du traitement à satisfaire à ces obligations, le CEPD a publié des lignes directrices présentant des exemples de violations de données et détaillant, pour chaque exemple :
- les mesures de prévention qui auraient pu permettre d’éviter la violation ;
- l’évaluation des risques ;
- les mesures permettant d’atténuer les effets de la violation ;
- les obligations à la charge du responsable du traitement (inscription au registre des violations, notification à l’autorité de contrôle, communication aux personnes concernées).
Ainsi, le CEPD prend l’exemple d’un ancien salarié ayant récupéré, durant son préavis, des données à caractère personnel relatives aux clients de son employeur afin de les utiliser, à des fins de prospection, pour son propre compte. Le CEPD fait les observations suivantes :
- aucune mesure de prévention ne peut être mise en œuvre efficacement, compte tenu du fait que le salarié avait accès aux données de façon légitime, dans le cadre de l’exécution de son contrat de travail ;
- l’employeur ne peut pas considérer le risque comme faible, puisqu’il ignore les intentions de son ancien salarié s’agissant de l’usage qu’il fera des données ;
- afin d’atténuer les effets de la violation, l’employeur peut utiliser des moyens légaux visant à empêcher l’ancien salarié d’utiliser abusivement les données ;
- le CEPD indique que cette violation doit être notifiée à l’autorité de contrôle, sans qu’il soit nécessaire de la communiquer aux personnes concernées.
Dans le cadre d’une attaque par bourrage d’identifiant (« credential stuffing » cf. notre article sur un responsable du traitement et son sous-traitant sanctionnés par la CNIL) affectant le site internet d’une banque et se traduisant par une fuite de données identifiantes et financières de 100 000 clients, le CEPD indique les éléments suivants :
- le fait que la violation affecte des données financières, et que le nombre de personnes concernées est élevé, rend la violation particulièrement sévère, le risque est ainsi évalué comme étant « élevé », ce qui signifie que la violation doit être notifiée à l’autorité de contrôle et communiquée aux personnes concernées ;
- au titre des mesures de prévention susceptibles de neutraliser ce type d’incident, le CPED recommande au responsable du traitement la mise en œuvre d’une authentification à deux facteurs sur le site internet concerné.
Lien vers les lignes directrices du CEPD : https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf
