La semaine dernière, la Fédération Française de Football était victime d’un piratage informatique (cyberattaque). Plusieurs centaines de milliers de données personnelles ont été potentiellement exfiltrées. Une victime de plus. Il faut espérer que la notoriété du football français déclenche une prise de conscience auprès des entreprises françaises.

Telle une mauvaise coïncidence, la CNIL publie dans le même temps un bilan intitulé « Violations de données personnelles : bilan de 5 années de RGPD », dans lequel elle indique avoir recensé plus de 17 400 notifications de violations de données sur ces cinq dernières années, avec une tendance à la hausse du nombre d’incidents relevés et provenant pour les deux tiers du secteur privé. Aussi et dans 55% des cas, un « acte malveillant externe » en a été à l’origine.

Au mois de janvier dernier, ce sont deux opérateurs de gestion du tiers payant – Viamedis et Almerys – intermédiaires entre les professionnels de santé et les complémentaires santé en qui confirmaient cette tendance. En l’espèce, pas moins de 33 millions d’assurés étaient concernés par une violation de données, lesquelles portaient sur l’état civil, la date de naissance, le numéro de sécurité sociale, le nom des assureurs de santé et les garanties des contrats souscrits. Les informations bancaires, données médicales, coordonnés postales, numéros de téléphone ou encore les courriels semblaient épargnés.

Simultanément, elle prononçait une sanction de 100.000 euros à l’encontre de la société PAP (de Particulier à Particulier), notamment pour non-respect de son obligation d’assurer la sécurité des données personnelles en lien avec les règles de complexité et de conservation des mots de passe. Depuis le mois de janvier 2024, 15 nouvelles sanctions ont été rendues dans le cadre de sa procédure simplifiée. Parmi ces sanctions, différents manquements sont visés et notamment le manquement à l’obligation de sécurité des données.

Double peine donc pour les entités, lesquelles non seulement victimes peuvent également être mises en cause par la CNIL, dont le pouvoir de contrôle et de sanction connaît une mise en œuvre croissante.

Néanmoins, il est vrai que les données sont devenues une monnaie d’échange précieuse et c’est dans ce contexte que les cyberattaques se sont multipliées. Elles constituent alors une menace sérieuse pour les organismes privés et publics. Si des informations stratégiques, commerciales et confidentielles peuvent en être la cible, les données personnelles s’en retrouvent régulièrement exfiltrées. Or, plusieurs risques en découlent et notamment le risque d’atteinte à la vie privée des personnes concernées ou le risque d’atteinte aux libertés individuelles.

C’est pour répondre à cette préoccupation que le RGPD, adopté en 2017 et applicable depuis mai 2018, impose un certain nombre d’obligations à leur charge. Il s’inscrit alors dans la continuité de la loi française « Informatique et Libertés » de 1978, modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles, dans le sens d’une protection européenne et accrue des données personnelles.

L’occasion pour nous de faire un rappel sur ces différentes obligations, en particulier s’agissant de la sécurité des données.

Le RGPD pose différentes obligations en matière de protection des données personnelles à la charge des organismes aussi bien privés que publics, responsables de traitement et sous-traitants de ces données.

L’obligation de sécurité est prévue à l’article 32 du RGPD. A travers elle, il s’agit de mettre en œuvre un certain nombre de mesures de sécurité adaptées au contexte du traitement des données et de l’environnement numérique dans lequel il est effectué, telles que le chiffrement des données aussi nommé cryptage, ou la pseudonymisation.

Le choix des autres mesures de sécurité à mettre en place (mesures physiques ou matérielles, mesures sur les logiciels, mesures organisationnelles) est laissé à la libre appréciation du responsable de traitement.

Le RGPD prévoit également l’obligation de recourir des outils spécifiques pour y veiller, comme l’analyse d’impact ou la mise en œuvre d’un registre d’activités de traitement.

L’obligation de tenir un registre d’activités de traitement concerne tous les organismes exerçant une activité de traitement, à l’exception de ceux comptant moins de 250 salariés.

Ce registre, mis en place par le responsable de traitement (il peut aussi être tenu par le sous-traitant ou être confié à un DPO), permet de recenser les différents traitements de données d’un organisme et de disposer d’une vue globale sur le sort qui leur est réservé.

Ce registre doit comprendre :

• L’identification des parties aux traitements de données (nom, coordonnés du responsable de traitement ou du DPO),
• La finalité des différents traitements de données,
• La catégorie des données à caractère personnel traitées,
• Les catégories de destinataires qui auront la communication des données à caractère personnel,
• Les délais envisagés pour l’effacement des données à caractère personnel,
• Une description des mesures de sécurité mises en place pour le traitement de ces données à caractère personnel.

Pour être efficace, ce registre doit être mis à jour régulièrement et peut être communiqué à la CNIL en cas de demande de sa part dans l’exercice de sa mission de contrôle.

La mise en œuvre d’un tel registre permet par ailleurs d’obtenir une cartographie complète des risques cyber auxquelles un organisme est confronté, sur la base de laquelle des politiques de sécurité claires et précises doivent être élaborées. Lesdites politiques devront notamment couvrir les sujets suivants : accès aux données et restrictions, cryptage et sauvegarde des données, détection des intrusions, gestion des incidents, etc.

A noter qu’en cas de cyberattaque, le registre de traitement peut s’avérer être très utile pour identifier les catégories de personnes touchées par la violation de données.

En outre, la sensibilisation et la formation des employés sont essentielles pour s’assurer que l’ensemble des membres d’un organisme comprennent les risques liés à la sécurité des données et adoptent des pratiques sécurisées dans le cadre de leurs activités quotidiennes.

Également, les mesures de sécurité déployées doivent faire l’objet de contrôles pour prévenir les risques qui entourent la sécurité des données, et en particulier toute activité non autorisée ou douteuse.

La violation des données se traduit par la réunion de deux éléments.

D’abord, il faut que l’organisme visé par l’attaque ait effectué un traitement de données personnelles. Ensuite, il faut que ces données aient fait l’objet d’une perte de disponibilité, d’intégrité ou de confidentialité, de manière accidentelle ou illicite[i]. La violation des données peut en effet être le résultat d’une faille dans le système de sécurité, d’un accident, d’une erreur ou encore d’un acte de malveillance.

En cas de violation de données, tout responsable de traitement doit :

– notifier à la CNIL les violations des données personnelles présentant un risque (élevé ou non) pour les droits et libertés des personnes concernées. Le responsable de traitement dispose d’un délai de 72H après la constatation de cette violation pour avertir la CNIL. Au-delà de ce délai, l’organisme risque une mesure répressive.

Cette notification doit au minimum décrire la nature de la violation des données à caractère personnel, la communication du nom et des coordonnées du DPO, les possibles conséquences engendrées par cette violation, les mesures prises ou qui seront à prendre par le responsable de traitement pour remédier à cette violation.

– documenter la violation de données personnelles, peu importe la cause de la violation des données personnelles, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier.

–communiquer sur la violation des données personnelles auprès des personnes concernées si elle présente un risque élevé pour les droits et libertés d’une personne, sauf (i) si le responsable de traitement a appliqué des mesures de protection techniques et organisationnelles aux données visées par la violation, notamment des mesures comme le chiffrement qui rendent les données incompréhensibles pour les personnes qui ne devraient pas y avoir accès, si le responsable de traitement a pris des mesures ultérieures qui permettent d’écarter la réalisation du risque élevé pour les droits et libertés des personnes, si cette communication exige des efforts disproportionnés.

Ces mesures sont bien plus faciles à mettre en œuvre si le responsable de traitement a au préalable procédé à une tenue régulière de son registre des activités de traitement et déployé les mesures visées plus haut.

Elles permettent donc non seulement de prévenir la matérialisation des risques cyber, mais encore, lorsqu’ils se matérialisent, de les maîtriser plus rapidement et efficacement.

La mise en œuvre des obligations imposées par le RGPD est rigoureusement appréciée par la CNIL.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut prononcer, après une procédure contradictoire, plusieurs mesures et notamment un rappel à l’ordre, une injonction de mise en conformité, le retrait d’une certification, une amende administrative ne pouvant excéder 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial de l’organisme concerné. Pour les manquements les plus graves, ce montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Dans le cadre de sa procédure de sanction simplifiée, la CNIL peut procéder à un rappel à l’ordre, infliger une amende d’un montant maximum de 20 000 euros, ou une injonction avec astreinte plafonnée à 100 euros par jour de retard.

La conformité aux lois et réglementations en matière de protection des données personnelles est donc indispensable pour éviter les sanctions financières et conséquences juridiques attachées à la violation de la vie privée ou l’atteinte aux libertés individuelles. Il en va également de la réputation des organismes concernés et de la confiance de leurs parties prenantes, très largement mises à mal en cas de violation des données personnelles.