RGPD : "les entreprises doivent se préparer dès maintenant à la violation de données", selon B. Rasle
Selon Bruno Rasle, DPO et délégué général de l'AFCDP (Association française des correspondants aux données personnelles), toutes les entreprises doivent s'attendre, un jour ou l'autre, à subir une violation de données. Mieux vaut donc s'y préparer dès aujourd'hui.
Comment détecter une violation de données ?
Plusieurs études menées aux États-Unis révèlent qu’en général, l’entreprise n’a pas été capable de détecter la violation de données. Elle le découvre souvent sur internet, sur les réseaux sociaux, dans les médias. Il faut donc mettre sur pied un dispositif de veille efficace. Les dirigeants d’entreprises pensent que cela n’arrive qu’aux autres. C’est faux. Toutes les entreprises - même les meilleures - vont subir, un jour ou l’autre, une violation de données. Et les conséquences peuvent être majeures. Certaines sociétés ont perdu de grosses parts de marché à la suite de tels incidents. Les actionnaires peuvent aller jusqu’à révoquer les dirigeants. Je pense notamment à la société Target, victime d’une intrusion informatique qui a conduit au vol des données bancaires de plus de 40 millions de clients, et des données personnelles (noms, prénoms, adresses) de 70 millions de personnes. A la suite de cette affaire, le PDG a été limogé.
En cas de violation de données avérées, comment réagir ?
Selon le RGPD (voir notre dossier), le responsable de traitement doit notifier l’incident à la CNIL « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques » (art. 33 du règlement - voir la version du RGPD annotée publiée par l'AFCDP). C’est un délai très court. Aux États-Unis, où une telle disposition existe depuis 2003, la réglementation diffère selon l’État. Le plus souvent, il n’y a pas de délai impératif. S’il y en a un, il est de l’ordre d’une semaine. Je regrette un peu que l’Union européenne ne se soit pas davantage inspirée de l’expérience américaine. La Commission européenne aurait pu auditionner des DPO américains.
Lors de la phase d’analyse a posteriori de la violation, l'entreprise devra ensuite se demander pourquoi les mesures de sécurité qui avaient été prévues dans le cadre des analyses d’impact n’ont pas été efficaces. Lorsqu’une entreprise notifie une violation de données, il y a de grandes chances que la CNIL vienne voir sur place ce qui a été prévu par l’entreprise.
Y-a-t-il un intérêt à notifier aux personnes une violation de leurs données si elle n’engendre pas un risque élevé pour leurs droits et libertés ?
Les débats les plus importants en interne porteront, sans doute, sur la communication aux personnes concernées par la violation de données. La CNIL peut obliger l’entreprise à communiquer auprès des personnes concernées si elle considère que le niveau de risque est important pour leur vie privée, sociale ou professionnelle. Le responsable de traitement peut très bien avoir décidé de ne pas les informer alors que la CNIL aura jugé l’inverse, après sa propre analyse. Dans tous les cas, il ne faut pas créer de mouvement de panique. Notifier la violation aux personnes concernées, uniquement pour s’excuser, ne sert pas à grand chose. Il vaut mieux accompagner l’information de conseils concrets pour aider les personnes à se protéger. Par exemple : « Nous vous recommandons de changer vos mots de passe. Surveillez votre compte bancaire, etc. ». Il ne faut pas attendre l’incident. Les entreprises doivent s’y préparer dès maintenant, cela représente un travail gigantesque. Beaucoup de sociétés américaines ont déjà des courriers-types validés par les directions juridiques.
Les entreprises doivent mettre en place, par l’intermédiaire de leurs CIL (correspondant informatique et libertés) ou de leurs futurs DPO, des groupes de travail transverses : RSSI (responsable sécurité des systèmes d'information), directions juridiques, conformité, direction de la communication, etc. Ne pas oublier que le contenu de la lettre envoyée aux personnes concernées par la violation de données pourrait être instrumentalisé par celles-ci afin d'engager une action de groupe. Il faut réfléchir aussi dès aujourd’hui aux éléments de langage à utiliser auprès du public, des syndicats, des salariés, etc.
Comment gérer un contrôle de la CNIL ? Quelles sont vos principales recommandations ?
Toutes les équipes doivent y être préparées : les RH, l’informatique, la direction commerciale, etc. Il faut leur expliquer que ce contrôle est un droit de la CNIL, afin d’éviter toute réaction hostile de la part de ses salariés. Cela pourrait être interprété comme une entrave à l’action de la Commission. En revanche, ils ne doivent répondre que strictement aux questions de la CNIL : ni plus, ni moins. Actuellement - et d'autant plus si l'entreprise a pris soin de nommer un CIL - la CNIL prévient de sa visite, sauf s’il existe un risque de destruction de preuves. Le contrôle peut avoir lieu entre 6h et 21h, mais il intervient en principe aux horaires de bureau. Deux agents, au minimum, sont présents : il s’agit souvent d’un juriste accompagné d’un informaticien. Deux principales consignes : ne jamais laisser les agents circuler seuls dans l’entreprise, et attribuer un « scribe » à chacun d'entre eux. Le rôle du scribe est de se comporter comme une ombre : il note tout ce qui se dit et tout ce qui se fait.
Et après le contrôle ?
Organiser un debriefing avec tous les collaborateurs impliqués, afin que chacun fasse son propre « reporting ». Surtout, il ne faut pas se fier à l’ambiance qui règne durant le contrôle. Une ambiance détendue ou, au contraire, froide ne présage pas de la suite qu’entend donner la CNIL. Il ne faut pas interpréter le contrôle comme un audit. Le rôle de la CNIL, lors d’une mission de contrôle, n’est pas de dire si les traitements de données sont conformes ou non, mais de relever des éléments précis qui seront étudiés afin de permettre à la CNIL de l’éventuelle suite à donner. Pour tenir compte des nouveautés introduites par le RGPD, nous sommes d'ailleurs en train de mettre à jour notre ouvrage « Comment se préparer (sereinement) à un contrôle de la CNIL ».