Blog Données personnelles
Notification de violation de données : nouvelles lignes directrices du CEPD
Le 14 janvier, le Comité Européen à la Protection des Données (« CEPD ») a adopté de nouvelles lignes directrices relatives aux notifications de violations de données. [1]
Des lignes directrices sur les notifications de violations de données avaient déjà été publiées par le G29 en 2017 mais elles restaient très théoriques et surtout antérieures à l’entrée en application du RGPD.
Instruites par la pratique, ces nouvelles lignes directrices du CEPD présentent des cas concrets de violations de données et rappellent les obligations des responsables de traitement correspondantes.
Tout d’abord, le CEPD rappelle que le RGPD oblige les responsables de traitement à :
- documenter toutes les violations de données ;
- notifier la violation de données à l’autorité de contrôle, à moins que celle-ci ne soit pas susceptible d’engendrer des risques pour les droits et libertés des personnes physiques ;
- communiquer la violation de données aux personnes concernées lorsque celle-ci est susceptible d’engendrer des risques pour les droits et libertés des personnes physiques.
Le CEPD recommande ensuite aux responsables de traitement d’avoir leur propre « Manuel sur la gestion des violations de données à caractère personnel » afin de répondre aux exigences du principe d’accountability et de protection des données dès la conception.
Puis, le CEPD présente différents cas de violations de données à caractère personnel possible fondés sur l’expérience des différentes autorités de supervision depuis l’entrée en application du RGPD.
Six catégories de causes de violations de données sont ainsi identifiées :
- les rançongiciels : un logiciel malveillant chiffre les données à caractère personnel et l’agresseur demande ensuite au responsable du traitement une rançon en échange du déchiffrement
- les attaques par exfiltration de données : attaques ressemblant aux rançongiciels mais visant généralement à copier, exfiltrer et exploiter des données à caractère personnel à des fins malveillantes
- les risques humains en interne : erreurs humaines en interne qui peuvent être intentionnelles ou non intentionnelles
- les pertes et vols d’appareils ou documents papier : perte d’appareils ou documents contenant des données à caractère personnel
- les erreurs lors d’envois de courriers : erreurs humaines non intentionnelles dans le contenu ou le destinataire d’un courrier contenant des données à caractère personnel
- l’ingénierie sociale : usurpation d’identité, exfiltration non autorisée d’emails
Pour chaque catégorie, le CEPD indique aux responsables de traitement :
- les premières mesures à prendre et comment évaluer les risques associés à la violation de données ;
- les mesures pour atténuer les effets de la violation et les obligations du responsable de traitement ;
- les mesures techniques et organisationnelles à mettre en place afin d’empêcher ces violations de données.
Ces lignes directrices présentent donc un réel aspect pratique et ont pour objectif d’aider les responsables de traitement à évaluer les risques liés aux violations de données et ainsi déterminer dans quels cas une notification à l’autorité de supervision ou aux personnes concernées est nécessaire.
Ces lignes directrices font l’objet d’une consultation publique jusqu’au 2 mars 2021.
[1] Lignes directrices sur les exemples relatifs aux notifications de violations de données, EDPB 01/2021, adoptées le 14 janvier 2021