Le Règlement Général de la Protection des Données (RGPD) est une nouvelle norme mondiale visant à codifier et à étendre les droits des personnes concernées. Le RGPD entrera en vigueur le 25 mai 2018 et remplacera désormais la Directive 95/46/CE sur la Protection des Données Personnelles (PDP) actuellement en vigueur. Des amendes pour violation de la présente norme peuvent atteindre 10 millions d’euros, sensiblement plus élevées que pour les violations d’autres normes, telles que HIPAA, SOX et GLBA.
L’une des principales raisons pour lesquelles les entreprises s’inquiètent de la conformité au RGPD, est l’exigence stricte de la notification des violations de données, spécifiée dans les articles 33 à 34 : les entreprises n’ont que 72 heures pour signaler une violation aux autorités de surveillance.
Mais ne paniquez pas. Dans ce billet de blog, Netwrix répond aux 5 principales questions sur cette exigence pour vous aider à mettre en place les processus appropriés avant que le RGPD n’entre en vigueur. Nous examinerons également trois récentes atteintes à la protection des données et nous verrons comment les avis d’atteinte à la protection des données manquaient cruellement chez chacune d’elles.
Foire aux questions sur les exigences du RGPD en matière de notification des atteintes à la protection des données.
Foire aux questions sur les exigences du RGPD en matière de notification des atteintes à la protection des données
1. Qu’entend-on par « atteinte à la protection des données personnelles » ?
Selon l’article 4 du RGPD, une violation des données personnelles est une violation de la sécurité qui entraîne la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée, ou l’accès aux données personnelles stockées, transmises ou traitées différemment par l’entreprise. Cela inclut également les incidents qui entraînent la perte ou l’indisponibilité temporaire des données personnelles. Il est essentiel de comprendre que cette définition diffère considérablement des autres normes, comme la HIPAA, qui limite le concept d’atteinte à la protection des données, uniquement à l’accès, et à la divulgation non autorisés.
De plus, le RGPD protège un ensemble de données beaucoup plus important. Selon l’article 4, on entend par « données à caractère personnel » toute information relative à une personne physique identifiée ou identifiable (personne concernée), qui comprend non seulement les noms et les numéros d’identification personnelle, mais aussi les données de localisation, l’origine ethnique, les opinions politiques, les données génétiques et biométriques, et bien d’autres choses encore. En revanche, la plupart des normes de conformité américaines (p. ex. PCI DSS et FISMA) ne protègent que les renseignements qui peuvent être utilisés pour commettre un vol d’identité ou une fraude – généralement le nom d’une personne, et une deuxième donnée comme son numéro de sécurité sociale ou son numéro de carte de paiement.
2. Dans quel délai dois-je signaler une atteinte à la protection des données ?
Conformément à l’article 33, les responsables du traitement et les opérateurs de données doivent signaler une violation des données à l’autorité de contrôle compétente dans les 72 heures suivant sa découverte. De plus, si une atteinte à la protection des données personnelles » est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes « , l’organisation doit aviser ces personnes » sans délai non justifié « . Il s’agit d’un délai difficile à respecter – les autres normes exigent habituellement de 30 à 45 jours pour l’avis d’atteinte à la vie privée. Par exemple, la HIPAA spécifie 60 jours, et la FISMA est plus stricte à 30 jours, alors que des normes comme la SOX et la FERPA ne précisent même pas d’échéance pour la notification d’infraction.
3. Quelle est la procédure de notification des atteintes à la protection des données ?
Comme beaucoup d’autres normes de conformité aux États-Unis et dans l’Union européenne, RGPD ne spécifie pas de format exact pour les notifications d’atteinte à la protection des données. Toutefois, l’Article 33 exige que les notifications aux autorités de contrôle comportent les informations suivantes :
- La nature de l’atteinte à la protection des données, les catégories et le nombre approximatif de personnes concernées, ainsi que les enregistrements de données concernés.
- Les conséquences probables de l’atteinte à la protection des données personnelles.
- Les mesures prises ou proposées pour remédier à l’infraction.
- Le nom et les coordonnées du délégué à la protection des données (DPD) ou d’un autre point de contact.
- Les personnes concernées doivent également être informées de manière efficace, par exemple par courrier électronique ou en publiant la lettre de notification sur le site Web officiel de l’entreprise
4. À combien peuvent se monter les amendes pour non-conformité ?
L’article 83 précise les sanctions en cas de violation du RGPD. En particulier, toute violation des dispositions relatives à la notification des atteintes à la protection des données, (comme le défaut de signaler à temps une atteinte à la protection des données, de fournir une description détaillée d’un problème ou de préciser les mesures que l’organisation prendra) peut coûter à l’entreprise 10 millions d’euros ou 2 % de son chiffre d’affaires annuel global pour l’exercice précédent, le montant le plus élevé étant retenu.
5. Y a-t-il d’autres conséquences en plus des amendes ?
Outre le droit d’infliger des amendes administratives, les autorités de contrôle compétentes ont le droit d’émettre des avertissements et des réprimandes, d’obliger les entreprises à signaler les infractions aux personnes concernées et, dans des cas extrêmes, de leur interdire de traiter des données à caractère personnel (article 58). Toutefois, il y a peu de chance que les autorités de surveillance imposent la pénalité maximale pour chaque incident de sécurité. Dès lors qu’une entreprise coopère à l’enquête et démontre qu’elle travaille d’arrache-pied pour améliorer la sécurité, elle évitera probablement d’énormes pénalités.
Études de cas : Trois manquements récents en matière de notification des atteintes à la protection des données
Les recherches indiquent que le défaut de signaler les atteintes à la protection des données en temps opportun est souvent attribuable à des contrôles de sécurité insuffisants, et à des décisions de gestion inadéquates. Les cadres de niveau C choisissent de dissimuler l’infraction pour éviter de lourdes amendes, et de porter atteinte à leur réputation, en négligeant les intérêts des personnes qui leur ont confié des données sensibles, et méritent d’être averties si ces données sont compromises. Le RGPD codifie et étend les droits des personnes concernées, afin d’obliger ces cadres à repenser leurs réponses, ou à faire face à des conséquences plus sévères.
Voici trois exemples d’entreprises qui n’ont pas assuré la sécurité des données de leurs clients et n’ont pas avisé rapidement les parties concernées des atteintes à la protection des données. Dans les trois cas, les entreprises étaient au courant des incidents de sécurité bien avant de se décider à les signaler, ce qui aggrave encore plus la situation. Une fois le RGPD en vigueur, un comportement similaire pourrait facilement donner lieu à une amende de 10 millions d’euro :
1. Uber : La société paie des pirates pour cacher le vol de 57 millions d’enregistrements d’utilisateurs
Que s’est-il passé ?
En octobre 2016, des pirates ont volé les données personnelles de 57 millions de clients et de chauffeurs Uber. Le PDG de l’entreprise, Travis Kalanick, a appris l’existence de l’intrusion en novembre 2016, un mois après qu’elle se soit produite – mais l’entreprise ne l’a divulguée qu’un an plus tard. De plus, l’entreprise a payé des pirates informatiques 100 000 $ pour supprimer les données, et garder le silence sur l’intrusion. Uber a déclaré croire que l’information n’a jamais été utilisée, mais a refusé de révéler l’identité des agresseurs.
Quelles données ont été volées ?
Les données compromises comprenaient les noms, adresses électroniques, numéros de téléphone et autres données personnelles de 57 millions de passagers et chauffeurs Uber dans le monde entier.
Quel a été le résultat de l’atteinte à la protection des données ?
Le cadre chef de la sécurité d’Uber, Joe Sullivan, a été licencié. Kalanick a été démis de ses fonctions en juin 2017, bien qu’il demeure membre du conseil d’administration. Uber fait toujours l’objet d’enquêtes dans plusieurs pays (dont les États-Unis, le Royaume-Uni et l’Italie) et fait face à de multiples poursuites de la part de clients et de chauffeurs du monde entier. Le montant final des amendes pour violation de la conformité n’a pas encore été déterminé.
2. Yahoo : Le plus grand piratage de l’histoire n’a pas été signalé pendant trois ans
Que s’est-il passé ?
En septembre 2016, Yahoo a révélé qu’une cyberattaque avait compromis 500 millions de ses comptes d’utilisateurs. Puis, en décembre 2016, il a admis qu’une atteinte à la protection des données avait touché un milliard d’utilisateurs, nombre qui a ensuite été révisé à 3 milliards – soit tous les comptes Yahoo qui existaient à l’époque.
C’est déjà assez mauvais, mais ça a empiré. La première intrusion a eu lieu à la fin de 2014, et la seconde a eu lieu encore plus tôt, en août 2013 – mais aucune des deux n’a été signalée avant fin 2016. On ne sait pas exactement quand Yahoo a appris l’existence de ces violations, mais il semble probable que les dirigeants de Yahoo les connaissaient bien avant qu’ils ne se décident à les divulguer.
Quelles données ont été volées ?
Les noms d’utilisateurs, les adresses électroniques, les numéros de téléphone, les dates de naissance, les mots de passe cryptés et (dans certains cas) les questions et réponses de sécurité cryptées ou non.
Quel a été l’impact de l’atteinte à la protection des données ?
Yahoo a été vertement critiqué par des membres du gouvernement américain et des experts en sécurité pour sa divulgation tardive des violations, et son attitude laxiste à l’égard de la sécurité. La Securities and Exchange Commission des États-Unis et le Congrès mènent toujours des enquêtes. Yahoo a également été frappé par plus de 40 recours collectifs de consommateurs. Enfin, les violations ont eu un impact sur l’acquisition de Yahoo par Verizon en 2017 : Le prix initial de 4,83 milliards de dollars a été renégocié à la baisse de 350 millions de dollars, et la transaction a été retardée de plusieurs mois.
3. eBay : Les avis d’atteinte à la protection des données vont très, très mal
Que s’est-il passé ?
Au début de l’année 2014, des pirates informatiques ont compromis les identifiants de connexion des employés d’eBay et les ont utilisés pour copier une base de données contenant les enregistrements de 145 millions d’utilisateurs. Non seulement l’entreprise a mis quelques mois à découvrir l’intrusion, mais elle a attendu deux semaines de plus avant d’aviser les clients touchés – dont plusieurs avaient déjà appris l’existence de l’intrusion par les médias.
De plus, lorsque eBay a finalement affiché un avis de violation, elle ne l’a pas mis sur son site Web officiel, mais l’a d’abord publié sur un petit site Web d’entreprise, www.ebayinc.com. Ensuite, l’entreprise a affiché une déclaration peu claire sur le site de PayPal, ce qui n’a pas expliqué la situation, et a déconcerté les utilisateurs, qui pensaient que leurs comptes PayPal pourraient également être affectés.
Quelles données ont été volées ?
Les noms d’utilisateur, les adresses personnelles, les numéros de téléphone, les dates de naissance, les adresses électroniques et les mots de passe cryptés.
Quel a été l’impact de l’intrusion sur les données ?
Le fait que des pirates aient pu accéder facilement aux données personnelles des clients d’eBay a eu un impact négatif sur l’image et les relations publiques de l’entreprise. eBay a fait face à un recours collectif, qui a été rejeté en 2015 en raison de l’absence de preuves de dommages économiques pour les clients. En juin 2014, le PDG d’eBay, John Donahoe, a confirmé que les actions d’eBay ont chuté d’environ 20 % en raison de l’effraction des données et du remaniement de la haute direction de PayPal.
En résumé
Comme ces exemples l’illustrent, les notifications d’atteinte à la protection des données doivent être traitées correctement, surtout une fois que le RGPD entrera en vigueur. Vous devez contrôler ce qui se passe avec vos données, ainsi que mettre en place un plan clair et testé pour répondre à une intrusion.
Les infrastructures informatiques sont devenues plus complexes, il est donc plus difficile que jamais de suivre les flux de données, et de garantir que les fichiers sensibles ne sont pas surexposés. Pour être en mesure de détecter rapidement les atteintes à la protection des données, et de les signaler rapidement, comme l’exige le RGPD, vous devez bien comprendre ce que les utilisateurs font dans l’environnement informatique. De plus, le fait de savoir où résident vos données sensibles et qui y a accès, vous aidera à déterminer l’étendue d’une atteinte à la vie privée et quels dossiers pourraient avoir été compromis.
