Quand les fuites de données se multiplient

Depuis quelques semaines, de nombreuses sociétés sont victimes de hacking de données, exposant leurs utilisateurs à la fuite de leurs informations personnelles.

    

Le 27 Juin 2018, Typeform a annoncé avoir été victime d’une fuite de données. Cette société espagnole, spécialisée dans la création de formulaires pour le compte d’autres sociétés, a été victime d’une attaque contre sauvegarde de son système. Un tiers s’est introduit dans le serveur et a récupéré des informations des clients de la société, exposant ainsi l’ensemble des données collectées. 

Cet incident n’est pas isolé. La société Exactis, une entreprise de marketing et d’agrégation de données basée en Floride, a involontairement publié sa base de données sur un serveur accessible au public. Ce sont près de 340 millions d’enregistrements individuels qui ont fuité dont 110 millions concernant des entreprises. Si les informations publiées ne comprennent pas de renseignements financiers ou de numéros de sécurité sociale, elles comprennent des données autrement plus sensibles tels que des renseignements sur la religion, sur les centres d’intérêt, le nombre d’enfants et les habitudes d’achat des individus.

Le 29 Juin 2018, un pirate informatique belge découvre une fuite de données provenant d’une application de test de personnalité sur Facebook. Le pirate se rend alors compte que cette application conservait les données des utilisateurs en javascript, qui pouvaient alors être récupérées par n’importe quel autre site web. L’application conservait les données des utilisateurs pendant environ deux mois, durée pendant laquelle ces données étaient librement accessibles par des tiers.

Entre le 28 juin 2018 et le 2 juillet 2018, l’Agence nationale de la sécurité des systèmes d'information (Anssi) a relevé huit avis de sécurité relatifs à des vulnérabilités présentes dans les systèmes tels que Linux, Google Android, Citrix, XenServer, Xen ou encore VMware. Ces vulnérabilités sont de nature à porter atteinte à la confidentialité des données puisqu’elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.

Alors que les failles de sécurité mettant en danger la sécurité et la confidentialité des données personnelles se multiplient, rappelons que le Règlement général sur la protection des données (RGPD) prévoit des sanctions administratives d’un montant maximum de 10 millions d’euros pour toute violation des obligations de sécurité des responsables de traitements.
Que faire si votre entreprise est confrontée à une violation de données à caractère personnel ?
Qui est concerné ?

Tous les organismes, publics et privés (société, associations etc..) et quelle que soit leur taille, sont soumis aux obligations suivantes dès lors qu’ils traitent des données personnelles et qu’ils ont connaissance d’une violation de données personnelles.

Qu’est-ce qu’une violation de données ?

Le RGPD définit la violation de données comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Quelles sont les obligations du responsable de traitement en matière de violation de données ?

Déterminer le risque engendré par la violation pour les droits et libertés des personnes : risque élevé, risque moyen, aucun risque.

Etablir un registre des violations de données personnelles recensant tous les incidents de sécurité.

Informer les personnes concernées par la violation en cas de risque élevé.

Peut-on déroger à l’obligation d’informer les personnes concernées ? oui si 

Les données à caractère personnel affectés par la violation sont protégées par des mesures telles qu’elles sont rendues indéchiffrables pour quiconque n’est pas autorisé à y avoir accès.

Le risque élevé n’est plus susceptible de se matérialiser si le responsable de traitement a pris les mesures techniques et opérationnelles nécessaires.

L’information des personnes exigerait alors un effort disproportionné.
Que doit contenir le registre de la violation ?

La nature de la violation : les catégories et le nombre approximatif des personnes concernées ainsi que les catégories et le nombre approximatif de fichiers concernés;

Les conséquences probables de la violation;

Les mesures prises pour remédier à la violation;

Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

La notification à l’autorité de contrôle doit intervenir dans les meilleurs délais et au plus tard dans les 72H après que le responsable de traitement ait pris connaissance de la violation. Si ce délai est dépassé, il conviendra d’indiquer à la CNIL les motifs du retard.  

La notification doit contenir : 

une description de la nature de la violation : les catégories et le nombre approximatif des personnes concernées ainsi les catégories et le nombre approximatif de fichiers concernés.

Une description des conséquences probables de la violation;

Les coordonnées de la personne à contacter (DPO ou autre);

Une description des mesures prises ou envisagées, y compris des mesures visant à atténuer les éventuelles conséquences négatives.

 Ecrit avec la participation de Elsa Faubert