Prévention et gestion des violations de données à caractère personnel

Depuis mai 2018, et l’entrée en vigueur du Règlement Général sur la Protection des Données, plusieurs violations de données à caractère personnel ont d’ores et déjà eu lieu dans différents États membres de l’Union européenne. Ces incidents ont mis en lumière l’importance d’une coopération entre le juridique et l’informatique, qui doivent fournir au responsable de traitements l’information nécessaire à la prise de décision et la validation d’un plan d’action.

Depuis mai 2018, et l’entrée en vigueur du Règlement Général sur la Protection des Données, plusieurs violations de données à caractère personnel ont d’ores et déjà eu lieu dans différents États membres de l’Union européenne. Ces incidents ont mis en lumière l’importance d’une coopération entre le juridique et l’informatique, qui doivent fournir au responsable de traitements l’information nécessaire à la prise de décision et la validation d’un plan d’action.

Dans ce contexte, Aubay et Wildgen ont uni leurs forces pour proposer une offre couvrant les aspects juridiques et informatiques de la prévention et la gestion des violations de données à caractère personnel. Dans cet article, ils rappellent comment les entreprises peuvent se protéger: la prévention à mettre en place, le processus de gestion des violations de données à caractère personnel et la communication à employer en cas de crise.

Maître RAGOT Emmanuelle, Wildgen, Partner & Avocat à la Cour

Prévention

Tout d’abord, les entreprises doivent s’assurer que leurs données sensibles, et particulièrement les données à caractère personnel qu’elles peuvent collecter et traiter, sont protégées de manière adéquate. Elles doivent mettre en place un programme de gouvernance incluant des mesures de sécurité pour protéger les données à caractère personnel. Des stratégies et des outils adaptés doivent également être envisagés afin de réduire tout risque.

La prévention aide à limiter les impacts d’une crise provenant d’une violation de données à caractère personnel.

De nos jours, de nombreuses menaces essayent de récupérer les données à caractère personnel, telles que : les menaces persistantes avancées, les programmes malveillants, les rançongiciels, les menaces internes, les menaces criminelles…

C’est pourquoi, Wildgen et Aubay sensibilisent les entreprises et leur proposent de réaliser des diagnostics sur les aspects juridiques, fonctionnels et techniques de leur organisation interne. Ces diagnostics aident à déterminer et à mettre en place un plan d’action dans le but de prévenir des vols de données à caractère personnel ou des pertes de celles-ci.

Concernant les aspects juridiques, le diagnostic a pour but de déterminer si des précautions supplémentaires devraient être mises en place par l’entreprise. Ces précautions visent notamment à vérifier les dispositions relatives aux obligations de sécurité, de confidentialité, de protection des données à caractère personnel incluses dans les contrats conclus avec les employés, sous-traitants et clients, à les adapter, voire à les intégrer dans ces contrats.

Un diagnostic fonctionnel permet, quant à lui, d’évaluer la maturité de la gouvernance des données à caractère personnel et donne la possibilité à l’entreprise de préparer sa feuille de route.

Les analyses de vulnérabilités et les tests d’intrusion constituent, de leur côté, les diagnostics techniques. Ces tests permettent d’adresser autant les aspects externes qu’internes. Les applications Web font l’objet de tests spécifiques.

Afin de réduire les risques, des outils avancés utilisant de l’apprentissage automatique et de l’intelligence artificielle travaillant sur le comportemental, peuvent être mis en place pour détecter de nouvelles menaces émergentes. Ces outils assistent aussi le cyber analyste en triant et corrélant un volume important de journaux : ils remontent des alertes.

Face aux menaces, ces outils ont également des modules additionnels permettant d’implémenter une réponse automatique. Ils aident les entreprises contre les menaces externes et internes dans la protection de leur réseau, de leur système d’information et de leurs données.

Monsieur MANCIET Emmanuel, Aubay, Security Consultant & Business Development

Gestion des violations de données à caractère personnel

La survenance d’une violation de données à caractère personnel met une entreprise à risque si cet incident n’est pas pris au sérieux et correctement traité. Les 72 heures prévues par le Règlement Général sur la Protection des Données pour éventuellement notifier la violation des données à caractère personnel survenue à la Commission Nationale pour la Protection des Données (ou une autorité de protection des données à caractère personnel d’un autre État membre), constituent un court délai. Durant cette période, l’entreprise victime d’une violation de données à caractère personnel doit pouvoir analyser l’événement détecté. Elle doit déterminer les risques pour l’entreprise/l’administration ainsi que ceux associés à la violation pour les personnes concernées par celle-ci. Ensuite, l’entreprise doit prendre les mesures adéquates pour réduire le risque et diminuer les conséquences préjudiciables de la violation de données à caractère personnel.

Wildgen et Aubay proposent d’assister les entreprises dans la gestion de crise. La préparation de l’éventuelle notification à transmettre à la Commission Nationale pour la Protection des Données est une étape importante dans la gestion de la crise. Il en va de même pour l’évaluation de la nécessité d’informer les personnes concernées par la violation des données à caractère personnel et la détermination de son contenu. Les actions prises immédiatement par l’entreprise et le plan d’action établi pour gérer la crise sont la clef. Les aspects juridiques doivent être évalués par rapport à la situation et font partie intégrante de la stratégie de gestion du risque du responsable de traitements.

Communication

Une approche du risque juridique est recommandée en ce qui concerne les communications émises vers l’autorité compétente en matière de protection des données à caractère personnel, les personnes concernées et plus largement, les tiers. Le risque réputationnel est également à prendre en compte tout comme la préparation des communiqués destinés aux individus concernés.

Le choix des mots doit être approprié afin de ne pas générer de problèmes juridiques supplémentaires.

Wildgen peut vous assister dans la rédaction de ces communications et dans la gestion des demandes effectuées par les personnes concernées par la violation des données à caractère personnel.

LIRE LA VERSION UK