Comment se comporter en cas de violation de données ?
Comment se comporter en cas de violation de données ?
Tout d’abord, pas de panique et assurez-vous toujours d’avoir votre serviette avec vous.
C'est finalement arrivé. Il y avait une faille dans votre système et quelqu'un en a profité pour faire ce qu'on appelle dans le jargon un violation de données. Une violation de données personnelles. Ne vous inquiétez pas, ce n'est pas un phénomène inhabituel. Les plus chanceux se heurtent à cette éventualité moins d'une fois par an, mais dans un monde qui évolue aussi vite qu'internet il peut arriver que cette éventualité devienne beaucoup plus fréquente. Pendant que vous essayez de ne pas paniquer, nous vous encourageons à vous en tenir à la règle de base : pour gérer une violation, vous devez suivre les indications du règlement européen 16/679 (GDPR) qui offre des conseils sur ce qu'il faut faire en cas de violation de données.
Qu'est-ce qu'une violation de données ?
Les violations de données personnelles sont de 6 types, et chacun d'eux peut être volontaire ou accidentel en fonction de la raison pour laquelle cela s'est produit :
- L'accès non autorisé. Quelqu'un ne pouvait pas avoir accès à certaines informations, pourtant ils l'ont fait. Au cas où il s'agirait d'une erreur, vous avez peut-être envoyé un document important à une personne plutôt qu'à une autre. C'était un accident, mais c'est toujours une violation de données. Cependant, dans le cas où vous avez fait un accès non autorisé aux données de quelqu'un, cet événement peut devenir espionnage.
- Copie non autorisée. Quelqu'un a pris des données qui ne lui appartenaient pas et les a copiées pour lui-même. Cela pourrait être un accident si un collègue décidait d'imprimer un document qu'il ne devrait pas avoir afin de mieux compiler un document de travail. En cas de copie volontaire pour des objectifs moins clairs, il pourrait être vol.
- Divulgation inattendue. Quelqu'un divulgue accidentellement des données qui ne devraient pas être en ligne pour une raison quelconque. Par exemple, une photo d'un client important est publiée sur le profil Facebook de l'entreprise. En cas de fraude, cette opération est appelée Diffusione.
- Modification non autorisée. Quelqu'un a modifié certaines données, même s'il ne pouvait pas le faire. Si c'est arrivé par erreur, c'est ça. Sinon ça pourrait être manumission par un pirate ou un attaquant.
- Perte d'accès. Quelqu'un perd des informations et celles-ci ne sont plus disponibles. Oublier le mot de passe de votre ordinateur est une violation, le saviez-vous ? Et au cas où cela aurait été fait exprès, cela deviendrait chiffrement.
- Annulation des données. Quelqu'un supprime des données sensibles. Si cela s'est produit par erreur, il s'agit d'une violation. Mais dans le cas où l'annulation est volontaire, elle engage le destruction de données.
Violation des données personnelles : comment se comporter ?
Veuillez vous référer aux articles 33 et 34 du RGPD. Ces deux articles font référence au règlement européen qui vise à indiquer les procédures à suivre en cas de violation de données. L'article 33 concerne la gestion interne de l'entreprise et les relations avec le Garant, tandis que l'article 34 concerne la gestion avec les parties intéressées, ou les personnes dont nous possédons les données personnelles.
Il est indispensable de préciser que la violation de données doit toujours être enregistrée e, en cas, notifié au Garant comme indiqué à l'article 33. Celui-ci précise également qu'en cas de violation, le responsable du traitement doit en informer les autorités de contrôle dans les 72 heures suivant sa connaissance, notamment si celle-ci présente un risque pour les droits et libertés des personnes physiques. Les sous-traitants (cabinet de paie, comptable, analystes système…) doivent en informer le responsable du traitement.
Si vous décidez d'informer le Garant, il a besoin d'informations : nature de la violation, nombre de personnes impliquées, données contractuelles du délégué à la protection des données, conséquences possibles de la violation et mesures prises ou à prendre.
Cependant, l'entreprise a l'obligation de communiquer tout ce qui se passe, indépendamment du fait que les violations soient involontaires ou volontaires, et assumer la responsabilité (responsabilité).
La responsabilité ?
La société doit être responsable, compétent et conscient de ce qui se passe dans ses environnements et ses systèmes. L'entreprise doit démontrer sa capacité à résoudre le problème de manière proactive et démontrer qu'elle dispose des outils nécessaires pour endiguer les conséquences de la violation de données. Cela se fait en fournissant des preuves et des données - et en vous proposant d'offrir au garant la certitude que ce qui s'est passé ne se reproduira plus jamais. En cas de défaut de "responsabilité", une amende est encourue.
Quelles sont les violations à communiquer au Garant ?
Seules les infractions volontaires et non accidentelles sont communiquées au Garant. Le responsable du traitement doit décider de notifier ou non, dans une logique de responsabilité, si la violation de données peut porter atteinte aux droits et à la liberté des personnes. L'L'ENISA (l'Agence de l'Union européenne pour la cybersécurité) a créé un méthodologie de calcul du risque sur la liberté des personnes face à une atteinte. Cette méthodologie peut également être appliquée dans l'entreprise.
Comment savoir s'il y a eu infraction ?
La violation doit être comprise pour être réellement détectée. Cela est possible s'il existe une formation adéquate dans l'entreprise pour estimer le risque et comprendre tout dommage. En un mot, vous n'avez pas besoin d'un ingénieur qui entre en scène pendant deux mois pour tenter d'estimer les dommages possibles d'une clé USB perdue : vous avez besoin d'une formation qui aide le personnel disponible à comprendre l'étendue des dommages sans ajouter aux coûts de gestion déjà importants. En termes simples, le personnel doit être formé à ce qu'implique une violation et à communiquer la procédure aux personnes concernées en temps opportun.
L'article 34 nous dit que le responsable du traitement ne peut pas communiquer la violation à la personne concernée Quand:
- Des mesures techniques et organisationnelles adéquates sont mises en place, mais avec une notification au Garant et une preuve de responsabilité.
- Elle a adopté des mesures pour éviter un risque élevé de violation de données.
- La divulgation peut être omise si elle nécessite un effort disproportionné – dans ce cas, elle doit être déclarée publiquement !
Les violations de données se produisent. Mais comment pensez-vous pouvoir le gérer ?
Vous pourriez également être intéressé par :
« Le patient au centre » : un grand espoir et un rendez-vous au Sénat
Le thème de l'importance de l'innovation dans les dispositifs médicaux pour les soins de santé européens sera exploré le 15 mai à Rome par des experts et des politiques.
Quatre pays, un océan gigantesque : le cas CMAR
C'est le corridor marin du Pacifique tropical oriental : Panama, Equateur, Colombie et Costa Rica alliés pour la protection des mers et des espèces marines...
Lausanne, sur les traces de la pollution : l'histoire d'un incinérateur
Une équipe de scientifiques a reconstitué les événements de la centrale de valorisation énergétique de Vallon et la contamination invisible qui a choqué le canton de Vaud
Comment l'environnement détermine les caractéristiques du fromage
La dégustation met en lumière comment, à règles de production inchangées, le climat et les cultures fourragères influencent différentes notes organoleptiques.
//