RGPD EN ENTREPRISE : LA GESTION DOCUMENTAIRE D’UNE VIOLATION DE DONNEES PERSONNELLES

Newsletter #RGPD Pratique - Le choix d'une #conformité efficace - Numéro 18/2023.

La #notification à la CNIL permet de répondre à l’obligation de documentation interne. Mais est-ce suffisant ?

En pratique, la CNIL conseille aux responsables du traitement de recenser l’ensemble des éléments relatifs aux violations et de s’appuyer sur le formulaire de notification mis en ligne qui peut servir de canevas pour la documentation interne. La documentation interne en effet ne se limite pas à la seule notification à la CNIL, car cette dernière est le fruit d’une analyse et d’une évaluation de la société basée sur des faits réels concernant la violation de données à caractère personnel, ses effets et les mesures prises pour y remédier.

L’ensemble de la documentation interne peut être contrôlé par la CNIL à tout moment dans l’objectif de vérifier le respect du RGPD. Si nous focalisons notre attention sur le registre des violations, celui-ci doit être daté et notamment contenir les éléments suivants :

1. -       Numéro d’identification de la violation ;
2. -       la date et l’heure exacte de la prise de connaissance de la violation (nécessaire pour calculer les 72 heures) ;
3. -       le département ou la personne qui a relevé la violation ;
4. -       la date de la violation, si celle-ci a été communiquée ou bien découverte par la suite ;
5. -       la description de la violation ;
6. -       les catégories et le nombre approximatif des personnes concernées ;
7. -       les catégories de données personnelles et le nombre d’enregistrement concernés ;
8. -       la nature de la violation, en soit confidentialité, disponibilité et/ou intégrité ;
9. -       les systèmes IT concernés et les fournisseurs impliqués ;
10. -       les conséquences probables de la violation ;
11. -       les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
12. -       le résultat de l’évaluation du risque ;
13. -       la décision de notification à la CNIL ;
14. -       la date et l’heure de notification à la CNIL ;
15. -       l’indication du type de notification (préliminaire ou complète) ;
16. -       les modalités et le contenu de la communication aux personnes concernées ;
17. -       le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Une violation de données personnelles doit être documentée et enregistrée dans le registre des violations de la société, même si le risque calculé est faible et qu’aucune notification ne doit être envisagée, ceci dans le respect du principe d’accountability. La société doit démontrer pourquoi elle a décidé de ne pas envoyer de notification à la CNIL et de communications aux personnes concernées. Nous en concluons que la documentation interne d'une violation est une obligation indépendante des risques existants, et doit être effectuée dans tous les cas.

Le registre est conservé par la société, et préférablement avec une date sure et dans un format qui assure son intégrité, comme par exemple un PDF avec une signature digitale datée. Il doit être présenté en cas d'inspection ou de demande spécifique de la part des autorités et de la CNIL pour démontrer le respect des obligations du responsable du traitement dans la gestion des violations de données personnelles.

Selon le principe de Privacy by Design e by Default, il est fortement conseillé d’adopter une procédure interne sur la gestion des violations de données personnelles afin d’individuer les étapes à suivre et le personnel interne ou externe qui doit agir en cas de crise due à un impact significatif au sein de la société. Ceci car un manuel préparé à l'avance fourni une source d'informations beaucoup plus rapide pour permettre aux responsables du traitement et aux sous-traitants d’atténuer les risques et respecter les obligations sans retard injustifié. On pense notamment à une attaque ransomware ou le blocus des processus internes.

La conclusion du processus de gestion des violations de données personnelles prévoit l’identification des possibles améliorations des processus suggérées par l'expérience acquise. Au cours de cette activité la société peut impliquer des fonctions internes ou des consultants externes retenus nécessaires.

Il est important d’évaluer et mettre en place des mesures correctives définies pour remédier à l’accident qui s’est produit. Ces mesures correctives se transforment en mesures de sécurité préventives dans le cycle de vie du processus de gestion dans lequel la violation s’est produite. Elles doivent être documentées et intégrées dans la documentation relative à l'incident de violation de données personnelles, également avec les journaux des systèmes informatiques pour démontrer les mises en œuvre en temps opportun. Les analyses réalisées donnent lieu à la définition d'un plan de remédiation en fonction des enjeux critiques identifiés tant au niveau des procédures, de l'organisation, de la technologie, que des analyses périodiques des données pour produire des statistiques susceptibles d'alimenter le processus d'analyse proactif, visant à la détection des événements ou comportements suspects répétés dans le temps, ou par les retours d'expérience reçus, qui permettent d'augmenter le degré de sensibilité aux enjeux de sécurité informatique et le niveau de sécurité des infrastructures technologiques gérées. Les actions correctives doivent faire l'objet d'une vérification et d'une validation préalables, puis mises en œuvre et testées périodiquement. La société a le devoir d'évaluer les mesures de sécurité en place et d'apporter des améliorations aux processus pour éviter que l’incident ne se reproduise en appliquant la roue de Deming (planifier, réaliser, vérifier et agir).

Est également à prévoir la formation et sensibilisation sur les questions de protection des données pour le personnel de la société qui se concentre sur gestion des violations de données personnelles (identification d'un incident de violation de données personnelles et mesures supplémentaires pour être prises, etc.) et les mesures correctives appliquées. Cette formation doit être répétée régulièrement, en fonction du type d'activité de traitement, en tenant compte des dernières tendances et alertes provenant de cyberattaques ou d'autres incidents de sécurité.