07/02/19

Data breach : “forewarned is forearmed”

L’entrée en vigueur du RGPD a conscientisé les acteurs publics et privés sur les conséquences d’une violation de données (data breach)

Les exemples fournis de plus en plus régulièrement dans l’actualité démontrent que ce risque est bien réel. S’il faut bien entendu en premier lieu veiller à la sécurité des données en cas d’incident, il faut aussi anticiper la réaction à avoir en cas de crise. “Un homme averti en vaut deux” ou “forewarned is forearmed” comme disent les anglo-saxons. Les entreprises sont donc nombreuses à se préparer aux data breach, mais quels sont les chantiers auxquels il faut s’atteler ?


Procédure interne de gestion des incidents et data breach

Il est évidemment indispensable de prévoir les personnes qui doivent être contactées en cas de data breach et la façon dont la documentation interne doit être établie.


Notification à l’Autorité de protection des données

Lorsque se produit l’incident, cette fuite de données (data breach) doit souvent être notifiée à l’Autorité de protection des données et aux personnes concernées. Cela implique de connaître les conditions dans lesquelles ces notifications doivent être faites. Compte tenu du court délai imparti (72 heures), il est aussi important de se familiariser avec la manière dont il faut procéder à la notification.


Communication de crise en cas de data breach

Si l’incident doit être communiqué aux personnes concernées, il est essentiel que cette communication soit maîtrisée. Ne pas nuire à l’image de l’entreprise ou de l’autorité publique est tout à fait possible. Il convient de mettre l’emphase sur l’attitude proactive et la prise de responsabilité.


Moyens d’actions au civil et au pénal

Les actions à prendre ne s’arrêtent pas à ces notifications. Il faut naturellement veiller à mettre un terme le plus rapidement possible à la violation de données si c’est possible.
D’un point de vue technique, il faut veiller à ne pas compromettre les preuves. Tout en permettant la reprise des activités évidemment.

Si la violation de données est malintentionnée, elle peut constituer différentes infractions. Il est alors possible de déposer plainte. Dans cette optique, il est utile de rassembler au préalable les informations techniques qui seraient indispensables à l’enquête pénale.

Sur le plan civil, on peut bien entendu demander l’indemnisation du dommage causé par la data breach. Si les données peuvent être considérées comme des secrets d’affaires, il existe maintenant une possibilité d’agir en amont afin de limiter ce dommage. Si l’auteur de la violation de données est connu, une action en cessation “comme en référé” peut être introduite.


Autres notifications à effectuer

Par ailleurs, la data breach n’est pas uniquement régie par le RGPD. Elle peut aussi tomber simultanément sous le coup d’une autre législation, telle que :

Les délais à respecter et les formalités de notification diffèrent selon la législation applicable. Des opérations croisées sont donc nécessaires.

dotted_texture