En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 30/01/2018
    3e édition du Congrès des DSI

    La troisième édition du Congrès des DSI se tiendra le 30 janvier prochain au Pré…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site E-commerce pour des prestations de Striptease
    < 8 000 €
    > En savoir plus
  • Création d'un site eCommerce pour la vente et la location de matériel destinés à l'évènementiel
    < 2 500 €
    > En savoir plus
  • Création de site Internet vitrine pour une association d'aide à la personne
    < 1 500 €
    > En savoir plus
GlobalK_Lean_leaderboard

Compromission de données personnelles : être prêt à répondre aux exigences de la nouvelle réglementation européenne

Primobox_Demat RH_pave 2

Les apports du projet de règlement UE sur la protection des données personnelles en matière de gestion de crise sont nombreux et les entreprises peuvent d’ores et déjà se préparer à plusieurs niveau. Francesca Serio, consultante spécialisée en gestion de crise et continuité d’activité chez Provadys, société de conseil spécialiste des technologies de l’information, indique les étapes concrètes à suivre.

Vous êtes le dirigeant d’une entreprise de la grande distribution, votre RSSI vous informe que malgré les mesures de sécurité mises en œuvre, l’entreprise est victime d’un vol massif de données clients. Vous avez conscience que c’est impactant pour votre entreprise mais heureusement les législations européennes et françaises, en matière de violation des données à caractère personnel, ne visent que les fournisseurs de communication électronique. Vous êtes épargnés d’un point de vue réglementaire… Certes, mais plus pour longtemps.

Le projet de règlement sur la protection des données destiné à remplacer la Directive 95/46/CE doit actuellement repasser devant la Commission et son adoption ne saurait tarder. Le règlement vise désormais toutes les organisations traitant des données à caractère personnel et en lien avec l’Union Européenne (territorial, résidents UE…).

Celui-ci impose notamment, que si les conséquences de la compromission de données, constituent un risque élevé pour les droits et libertés des personnes physiques concernées, l’organisation doit les informer au plus vite. Elle doit aussi en informer les autorités compétentes en matière de protection des données à caractère personnel. Pour ce faire, plusieurs actions doivent être réalisées en étroite collaboration avec le Data Privacy Officer (DPO) de l’organisation.

1-  La qualification de l’incident 

L’objectif est de déterminer si le risque est élevé pour les personnes concernées. Pour ce faire il convient en premier lieu de répondre à deux questions :

  • Les données volées rendent-elles les personnes concernées identifiables ?
  • Les personnes concernées peuvent-elles connaître des conséquences significatives voire irrémédiables (discrimination, vol/usurpation d’identité, perte financière, atteinte à la réputation) ?

A l’issue de cette première phase, si le risque est élevé pour les personnes concernées (données identifiables et conséquences majeures), il faudra procéder à la notification de l’autorité compétente et des personnes concernées.

L’organisation ne sera toutefois pas tenue de notifier les personnes concernées par la violation si :

  • Le responsable du traitement a mis en œuvre des mesures de protection technologiques appropriées rendant les données incompréhensibles à toutes personnes non autorisées à y avoir accès (ex : chiffrement) ;
  • Ou si la notification risque d’entrainer des mesures disproportionnées eu égard notamment au nombre de cas concernés ;
  • Ou si la notification risque de porter atteinte à un intérêt public important.

2-  La notification de l’incident

Pour la notification à l’autorité en charge de la protection des données, la CNIL en France, l’organisation victime de l’attaque dispose d’un délai de 72 heures. Cette notification devra notamment comporter les éléments suivants :

  • La nature de la violation
  • Le nombre approximatif de personnes et des enregistrements concernés
  • La description des conséquences probables de la violation
  • La description des mesures prises

Pour la notification aux personnes concernées, celles-ci doivent aussi être averties sans retard injustifié. Trois éléments principaux doivent être communiqués :

  • La nature de la violation des données à caractère personnel
  • Les mesures prises ou proposées pour remédier à la violation
  • Les recommandations afin d’atténuer les effets négatifs de la violation

Durant toute la gestion de la crise ainsi que durant la sortie de crise, le responsable du traitement doit alimenter puis conserver une trace documentaire de la violation des données à caractère personnel en indiquant son contexte, ses effets et les mesures prises pour y remédier. Ce document aura valeur juridique et pourra être opposable.

En parallèle à ces actions, la gestion de la crise comporte également une gestion technique de l’attaque, une campagne de communication de crise afin de sauvegarder la réputation, ainsi qu’une démarche judiciaire et assurantielle notamment si l’organisation a adopté une cyber-assurance.

La gestion des incidents de sécurité

La gestion des incidents de sécurité

3-  Le rôle du DPO

En temps de crise, le Data Privacy Officer (DPO) pourra veiller à ce que les mesures adaptées et la notification à l’autorité de contrôle et aux personnes concernées soient réalisées. Il pourra par ailleurs effectuer toutes les procédures requises auprès de la CNIL ainsi que suivre le dossier. En outre, les relations entre le CIL et la CNIL déjà établies en amont de la crise permettent d’alléger les procédures.

L’existence du CIL dans les entreprises peut être ainsi un élément favorisant l’adoption de réponses adaptées en temps de crise et pouvant réduire le montant de la sanction administrative dans le cas où la responsabilité du responsable de traitement ou du sous-traitant est démontrée.

 

Compromission de données personnelles : être prêt à répondre aux exigences de la nouvelle réglementation européenne
Notez cet article

Laisser un commentaire

Signature électronique : témoignages

Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • E-déchets et obsolescence programmée sous les feux de l'actualité

    E-gaspillage : Apple et Epson font les gros titres, tandis que les déchets électroniques continuent…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Failles Meltdown et Spectre : "Des erreurs graves dans les composants électroniques", selon Hervé Schauer, expert en cybersécurité

    Lorsque nous avons publié notre enquête à la mi-décembre sur les failles découvertes dans les…

    > En savoir plus...
Etudes/Enquêtes
  • Homme-machine, la collaboration va s'intensifier en 2018 selon Dell EMC

    D’ici 2030, les interactions humain-machine vont s’intensifier et transformer profondément notre quotidien : Dell EMC…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Primobox_Demat RH_skycraper 1
Agenda
livres blancs
Les Livres
Blancs
  • Livre blanc « Digital Needs Trust " : pour construire ensemble un écosystème digital européen…

    > Voir le livre
  • Adopter un Plan de Continuité d’Activité (PCA)

    > Voir le livre
Ixia_RGPD_skycraper