Guide informatique sur la règle de Notification des violations du GDPR

GDPR

Index

Le Règlement général sur la protection des données (GDPR) entrera en vigueur dans quelques mois — le 25 mai 2018 pour être précis. Si le document constitue une lecture intéressante pour les avocats experts en sécurité des données, il serait utile que nous autres informaticiens disposions de quelques conseils pratiques concernant certaines de ses sections les plus difficiles à interpréter, notamment la règle de notification des violations, énoncée dans les articles 33 et 34.

La clause du GDPR exigeant la notification de la violation dans les 72 heures ne figure pas dans la directive européenne actuelle, en vigueur depuis le milieu des années 90. Pour de nombreuses entreprises, respecter ce délai demandera un travail supplémentaire de la part de l’équipe informatique.

Avec l’aide de quelques experts juridiques (merci à Sue Foster et Brett Cohen) j’ai également examiné le texte de la règle du GDPR sur la notification. La question clé qui reste partiellement sans réponse est le seuil de notification dans les cas réels.

Par exemple, une attaque de ransomware doit-elle être déclarée aux régulateurs ? Qu’en est-il des adresses e-mail et handles en ligne exposés à la vue des hackers ?

Pour en savoir plus, lisez la suite.

Violation de données à caractère personnel vs. Violation déclarable

Nous avons enfin des consignes claires de la part des régulateurs. Le mois dernier, les régulateurs européens ont apporté quelques réponses à ceux qui se sentent un peu perdus, dans un document de 30 pages détaillant les consignes à suivre pour notifier les violations, avec tableaux et graphiques à l’appui.

Pour mémoire, le GDPR stipule qu’une violation des données à caractère personnel est une violation de la sécurité ayant conduit à « la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».

Il s’agit du discours classique tenu par toute loi sur la confidentialité des données – commencer par définir ce qu’est une violation de données ou un événement de cybersécurité. C’est ce dont vous êtes censé vous protéger — éviter ces incidents !

Plusieurs critères supplémentaires déterminent si les régulateurs et clients doivent être informés ou non.

En résumé : toutes les violations de sécurité des données ne doivent pas nécessairement être signalées !

Ce n’est pas inhabituel dans les lois sur la sécurité des données imposant de notifier les violations. Au niveau fédéral, la loi HIPAA applicable aux données médicales et les règles de cybersécurité de l’État de New York font également ces distinctions. Cela permet d’éviter que les régulateurs ne se retrouvent noyés sous les signalements de violations.

Dans le cas du GDPR, les violations ne peuvent porter que sur des données à caractère personnel, le terme employé par l’UE pour désigner les informations personnellement identifiables, ou PII. Si votre entreprise doit appliquer le GDPR et qu’elle est visée par une attaque portant sur les schémas top-secrets de sa dernière invention, il ne s’agit pas d’une violation de données à caractère personnel, et l’incident n’a pas à être signalé. Il en va de même pour le vol d’un logiciel propriétaire ou d’autres documents confidentiels.

Notification aux régulateurs

Dans le cadre du GDPR, quand une entreprise ou un responsable du traitement des données doit-il signaler une violation de données à caractère personnel à l’autorité de contrôle locale ?

La réponse figure dans l’article 33, mais elle peut manquer de clarté si l’on n’en connaît pas tout le contexte. Un responsable du traitement signale une violation des données à caractère personnel (exposition, destruction ou perte d’accès) si cette violation présente un risque pour les « droits et libertés » des citoyens européens.

Ces droits et libertés font référence aux droits de propriété et de respect de la vie privée énoncés dans la Charte des droits fondamentaux de l’Union européenne.

J’ai lu les directives, et tout ce que par intuition vous classeriez parmi les violations — exposition de données personnelles sensibles, vol d’un appareil contenant des données à caractère personnel, accès non autorisé à des données à caractère personnel — doit être signalé aux régulateurs.

Et ce, dans les 72 heures ! Il y a quelques nuances et une certaine marge de manœuvre, mais j’en parlerai à la fin de ce billet.

Le seul cas qui fait exception est celui où les données à caractère personnel sont chiffrées à l’aide d’algorithmes de haut niveau et que la clé elle-même n’est pas menacée : dans ce cas, le responsable du traitement n’a pas à signaler l’incident.

Qu’en est-il d’une violation portant sur des données à caractère personnel, telles que définies par le GDPR, mais n’atteignant pas le seuil de « risques pour les droits et libertés » ? Encore de la paperasserie en perspective !

Selon le GDPR, toute violation des données à caractère personnel doit être consignée dans un registre interne : « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel »— voir l’Article 33 (5).

Ainsi, un ordinateur portable volé ou perdu contenant des données à caractère personnel chiffrées, ou l’accès non autorisé d’une employée — qui a vu certains numéros de compte clients par accident en raison d’une erreur de droits d’accès aux fichiers — ne présente pas de risques pour les droits et libertés mais devra quand même être documenté.

Ce billet propose un diagramme de Venn, mais avant cela, regardez le graphique ci-dessous.

GDPR

(Source : Article 29 Working Party)

Étudions un nouveau scénario de seuil de déclaration GDPR concernant la disponibilité ou l’altération des données à caractère personnel.

Imaginons que des données européennes à caractère personnel deviennent indisponibles en raison d’une attaque DDoS sur une partie d’un réseau, ou suite à une suppression par une menace, mais qu’une sauvegarde reste accessible. Dans les deux cas, il y a perte de données, même si elle est temporaire — il s’agit quand même d’une violation de données à caractère personnel selon la définition du GDPR.

Faut-il signaler l’incident à l’autorité de contrôle ? Cela dépend des cas.

Si les utilisateurs ne peuvent accéder à leurs relevés financiers, par exemple, pendant une période relativement longue, peut-être un ou deux jours, alors cela va à l’encontre de leurs droits et libertés. Cet incident devrait être signalé à l’autorité de contrôle.

D’après les remarques qui figurent dans la directive, cette période relativement longue est sujette à interprétation. Il n’en reste pas moins que vous devez documenter l’incident et prendre la décision qui s’impose.

Notification des violations et Ransomware

Après discussion avec des experts du GDPR, il s’avère que l’incertitude demeure même chez les juristes quant à savoir si les attaques de ransomware doivent être signalées ou non.

Grâce à aux nouvelles directives, la réponse est aujourd’hui plus claire : les scénarios de ransomware sont inclus dans les analyses.

Comme nous le savons tous, le ransomware chiffre les données de l’entreprise qui doit payer les hackers en Bitcoins afin que ceux-ci acceptent de déchiffrer et rendre les données sous forme de texte brut.

Comme je l’ai suggéré plus haut, le GDPR considère les attaques de ransomware visant les données à caractère personnel comme une perte de données. À quel moment le seuil est-il franchi et la violation doit-elle être déclarée ?

D’après les exemples donnés, une violation doit être signalée dans deux cas :
1) Il existe une sauvegarde des données personnelles mais la défaillance provoquée par l’attaque a un impact sur les utilisateurs ;
2) Il n’existe aucune sauvegarde des données personnelles.

En théorie, une très courte attaque de ransomware résolue rapidement ne nécessite pas d’être signalée. En pratique, compte tenu du temps pris par l’analyse et le rétablissement, la plupart des attaques de ransomware devraient être déclarées.

Communication aux personnes concernées

Le niveau suivant de signalement est une violation des données à caractère personnel présentant un risque « élevé pour les droits et libertés. » Ces violations doivent être signalées aux personnes concernées.

En termes de diagrammes et sous-ensembles de Venn, on peut affirmer que toute violation de données à caractère personnel signalée aux personnes concernées doit également être déclarée à l’autorité de contrôle.

Quand une violation des données à caractère personnel présente-t-elle un risque élevé ?

Nous devons faire appel à notre intuition, et les directives donnent comme exemple des violations de données médicales ou financières (numéros de carte de crédit et de compte bancaire).

Mais il existe d’autres exemples en dehors du contexte médical ou bancaire. Si la violation des données à caractère personnel concerne les noms et adresses des clients d’un vendeur au détail ayant demandé à être livrés en vacances, le risque serait élevé et exigerait de contacter les personnes concernées.

Une violation portant seulement sur les informations de contact (nom, adresse, adresse e-mail, etc.) n’exige pas obligatoirement d’être déclarée. Par contre, si la violation touche un nombre important de personnes, l’autorité de contrôle et les personnes concernées devraient alors être averties. D’après les directives, la taille de la violation est importante. Ainsi, une exposition des adresses e-mail comme celle de Yahoo conduirait à des signalements.

Les directives soulignent le fait que si les informations de contact incluent d’autres informations sensibles (psychologiques, ethniques, etc.), alors l’incident devrait être signalé, quel que soit le nombre de personnes affectées.

GDPR

Remarque : une violation minime des adresses e-mail sans autre information confidentielle n’a pas à être signalée. (Source : Article 29 Working Party)

Ou, par exemple, si les informations de contact ou adresses e-mail piratées sont celles d’un site Web pour enfant, il s’agit là d’un groupe particulièrement vulnérable. Le risque serait alors élevé et devrait être signalé aux personnes concernées.

Notification par étapes des violations

Si la règle de notification des violations sous 72 heures du GDPR a fait des vagues, elle est en fait plus souple qu’il n’y paraît lorsque l’on prend le temps de lire les lignes en petits caractères.

La première information à retenir est que l’horloge commence à tourner lorsque le responsable du traitement a connaissance de la violation des données à caractère personnel.

Par exemple, supposons qu’une organisation détecte une intrusion sur son réseau. Le délai de 72 heures n’a pas encore commencé.

Une enquête est ensuite menée pour déterminer si des données à caractère personnel ont été violées. L’horloge n’a toujours pas commencé à tourner. Lorsque l’équipe de sécurité informatique découvre avec une certitude raisonnable que des données à caractère personnel ont été violées, alors seulement le compte à rebours est enclenché !

Lorsqu’il notifie l’autorité de contrôle, le responsable du traitement peut procéder par étapes.

Il est parfaitement acceptable de notifier l’autorité de contrôle au moment de la découverte (ou de la suspicion) d’une violation des données à caractère personnel et de lui indiquer qu’une enquête supplémentaire est nécessaire pour obtenir plus de détails — voir Article 33 (4). Cette procédure, qui peut durer plus de 72 heures, est autorisée par le GDPR.

S’il s’avère qu’il s’agissait d’une fausse alerte, vous pouvez demander à l’autorité de contrôle d’annuler la notification.

Dans le cas d’une violation de données à caractère personnel dont on découvre qu’elle présente un risque élevé pour les individus, le signalement aux « personnes concernées » doit avoir lieu « dans les meilleurs délais » — voir Article 34 (1). L’objectif est d’informer les clients de la façon dont ils ont été affectés et de ce qu’ils doivent faire pour se protéger.

Détails de la notification

Ceci nous mène au dernier thème abordé par ce billet épique : que dire à l’autorité de contrôle et aux personnes concernées ?

Concernant l’autorité de contrôle, l’Article 33 dit ceci :

  • décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • décrire les conséquences probables de la violation de données à caractère personnel ;
  • décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Notez qu’il est nécessaire de fournir le détail des catégories de données et du nombre approximatif d’enregistrements concernés.

L’autorité de contrôle peut demander des informations supplémentaires. La liste ci-dessus indique les informations que le responsable du traitement doit fournir au minimum.

Lorsqu’il avertit les personnes concernées (voir Article 34), le responsable du traitement doit fournir les précisions suivantes :

  • une description de la nature de la violation ;
  • le nom et les informations de contact du Délégué à la protection des données ou d’un autre point de contact ;
  • une description des conséquences possibles de la violation ; et
  • une description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation, notamment toute mesure appliquée pour limiter les effets négatifs possibles.

Le GDPR préfère que le responsable du traitement contacte directement les personnes concernées plutôt qu’elles apprennent la violation dans les médias. Il peut les contacter par e-mail, SMS ou courrier postal.

Concernant les communications groupées, l’insertion de bannières bien visibles sur les sites Web, et la publication de billets de blog ou communiqués de presse font parfaitement l’affaire.

Le document de directives sur la notification des violations selon le GDPR, publié le mois dernier, fait 30 pages. En tant qu’informaticien, vous n’en apprécierez pas toutes les subtilités.

Vous aurez besoin de l’aide d’un juriste (le conseiller de votre entreprise, votre CPO, CLO, etc.) pour comprendre ce qu’impliquent ces directives sur le GDPR et les autres lois associées.

Ce qui nous amène à cette dernière réflexion : faire face à une violation est un travail d’équipe entre l’informatique et les services juridiques, des communications, des opérations, des relations publiques, généralement au niveau de la direction. Le service informatique ne peut y arriver seul.

La première chose à faire est de mettre en place un plan de réponse aux incidents.

Pour obtenir des informations sur la conformité en matière de sécurité des données et de respect de la vie privée, consultez le site Web de l’IAAP (International Association of Privacy Professionals (IAPP) : https://iapp.org/, qui contient de précieuses ressources.

L’IAPP propose également un kit d’outils de réponse aux incidents constitué par nos amis juristes de Hogan Lovells. Consultez-le ici.