Fuite de données : à tous les coups on perd…

Publié le 17/09/2018 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin, Avocat associé, du 17 septembre 2018 pour CIO Online.

Le 25 mai 2018 marque l’entrée en vigueur du désormais fameux « Règlement Général relatif à la Protection des Données » (RGPD). En dépit de la publicité qui a été donnée à ce règlement et de la « lourdeur » du texte (99 articles !), celui-ci recèle en définitive assez peu d’innovations. Les entreprises ayant pris le soin de se conformer à la loi du 6 janvier 1978 Informatique et Libertés sont d’ores et déjà largement conformes au RGPD.

Parmi, les vraies nouveautés du RGPD figurent cependant ce que prévoit son article 33 intitulé « Notification à l’autorité de contrôle d’une violation de données à caractère personnel ». Cet article doit être connu de toutes les DSI car, sauf à vivre déconnecté d’Internet, il est probable qu’un jour ou l’autre, la question de son application se posera dans chaque entreprise.

Les systèmes d’information, notamment les sites web, sont aujourd’hui particulièrement exposés aux intrusions informatiques. La jurisprudence nous montre également que, souvent, une simple défaillance technique ou erreur de programmation exposera sur le web des informations qui n’auraient pas dû s’y retrouver. Par la force des choses, les situations dans lesquelles une entreprise se trouve exposée aux « fuites » de données sont devenues aujourd’hui extrêmement nombreuses.

Lorsqu’une intrusion est détectée, en plus de la réponse technique qu’il convient d’apporter immédiatement à la situation, se pose donc maintenant une question juridique : faut-il notifier l’intrusion ?

Les nouvelles conséquences juridiques de la perte de données

L’article 33 du RGPD prévoit qu’en cas de « violation de données à caractère personnel », le responsable du traitement doit le notifier à la Commission National de l’Informatique et des Libertés (Cnil).

Qu’est-ce qu’une violation de données ?

Le RGPD la définit ainsi : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel […] ou l’accès non autorisé à de telles données ». La définition n’enrichit pas réellement la compréhension de la notion.

Relevons d’abord que sont concernées par l’obligation de notification au régulateur tant les violations de données liées à une intrusion frauduleuse dans le système d’information qu’à une perte accidentelle. On pense dans cette dernière hypothèse aux pertes d’ordinateurs portables ou de disques durs externes.

Bien sûr ne sont concernées par l’obligation de notification que les fuites de données « à caractère personnel », c’est-à-dire des données qui se rapportent directement ou indirectement à un individu. Cependant, il faut remarquer qu’aujourd’hui, à moins d’être sur des informations purement comptables, financières ou techniques, rares sont les données présentes dans un système d’information qui ne se rapportent pas à un individu. Toute perte de données relatives aux clients, aux prospects, aux salariés, aux partenaires et contacts de l’entreprise est donc concernée.

Quand notifier ?

La question peut receler une difficulté car lorsqu’une intrusion est détectée, il n’est pas toujours simple de savoir, en tous cas rapidement, si l’intrusion a été couronnée de succès, jusqu’où l’assaillant a pu avoir accès dans le système d’information, à quelles données et ce qu’il a pu récupérer ?

Le Cnil indique qu’en cas de doute, il est préférable de notifier l’intrusion. Certes. Mais compte tenu du nombre de tentatives d’intrusion qu’une entreprise subit quotidiennement, on ne peut cependant imaginer de notifier à la moindre alerte. Lorsqu’une tentative semble avoir déjoué les protections du système d’information, il faudra qu’une cellule de crise constituée de la direction informatique, la direction juridique, la direction de la communication et la direction générale se réunisse pour évaluer la situation et décider ou non de la notification selon le degré de probabilité du succès de l’intrusion et des ressources impactées.

Sous quel délai notifier ?

A cette question, le RGPD apporte, comme à son habitude, une « réponse de Normand ».

Le responsable du traitement doit notifier la violation à la Cnil « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ».

3 jours donc pour réagir entre la connaissance de la fuite de données (perte ou intrusion) et la notification à la Cnil. C’est un délai très court, surtout quand l’intrusion arrive en fin de semaine ou le week-end et qu’il peut ne pas être simple de réunir rapidement toutes les compétences au sein de l’entreprise.

Une procédure doit donc être mise en place dans les entreprises, ou il convient de mettre à jour la procédure existante, pour intégrer au traitement des intrusions ce nouvel aspect juridique.

Faut-il toujours notifier ?

Le RGPD prévoit une porte de sortie. La notification de la fuite de données n’est pas obligatoire lorsque celle-ci « n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

Bien sûr cette formule veut tout et rien dire. Qu’est-ce qu’un risque pour les droits et libertés des personnes ? Si l’on se réfère aux décisions de la Cnil rendues avant l’entrée en vigueur du RGPD, il faut relever que le régulateur fixe le seuil du « risque » pour ces droits et libertés assez bas.

Ainsi, dans une décision du 8 janvier 2018, la Cnil a considéré que l’accès aux données du SAV d’un vendeur d’électroménagers était un manquement à l’obligation de sécurité. Les données en question étaient le nom, le prénom, l’adresse (données dont on peut difficilement considérer qu’elles soient confidentielles) et le mail. La quantité de données, et donc de personnes impactées, ayant effectivement fuité n’était même pas connue. Par extraordinaire dans cette affaire, les seules données dont on était certain qu’elles aient fuité sont celles que la Cnil avait récupérées elle-même lors de ses investigations !

Bref, si l’on s’en réfère à de telles décisions, toute fuite de données est « susceptible d’engendrer un risque pour les droits et libertés des personnes » et la limitation que prévoyait l’article 33 à l’obligation de notification n’en est plus une.

Quatrième question : à qui notifier ?

A la Cnil. Mais pas seulement. En effet, l’article 34 du RGPD prévoit que « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».

Il faut donc informer les personnes dont les données ont été piratées ou perdues dès que la fuite de données présente un risque « élevé ».

Pour le moment, il n’est pas possible d’expliciter ce que signifie cet adjectif. Gageons que le risque élevé est constitué dès que les données ayant fuité peuvent être utilisées pour causer un préjudice patrimonial ou extra-patrimonial à la personne. Tel n’est pas le cas, selon nous, lorsqu’il s’agit uniquement de l’identité et de l’adresse de courrier électronique. Mais il faut craindre que le régulateur fixe une limite plus basse…

Qui doit notifier ?

Le responsable de traitement. Mais dans certaines circonstances, notamment dans les applications en « Saas », la détermination du responsable de traitement et du sous-traitant n’est pas toujours aisée. Le sous-traitant doit, en effet, selon l’article 33 du RGPD, notifier la violation de données à son responsable de traitement.

La société qui fournit des solutions Saas peut devoir notifier la violation à des centaines ou des milliers de clients, si l’on considère que ceux-ci sont les responsables de traitements, qui eux-mêmes devront notifier à la Cnil. Ces derniers, pour autant, n’auront d’informations techniques sur les circonstances de l’attaque que celles qui seront fournies par le sous-traitant. Ce ne sont donc pas les mieux placés pour notifier.

Comment notifier ?

La Cnil a mis en ligne un formulaire qui permet de procéder à ces notifications depuis son site web.

Le responsable de traitement devra fournir les informations suivantes : date et durée de la violation, circonstances de la découverte, nature de la violation, description de la violation, origine, déroulé, conséquences, causes, nature des données concernées, catégories de personnes concernées, mesures de sécurité préalables à la violation, etc.

Faute avouée à moitié pardonnée ?

Il n’est jamais agréable d’avoir à s’autodénoncer à une autorité qui dispose d’un pouvoir de sanction.

L’absence de notification d’une violation de données est, en lui-même, un comportement susceptible d’être sanctionné lorsque, par un autre biais, la violation deviendra connue. A ce propos, il faut savoir que certains sites web se font une spécialité de dénoncer les fuites de données…

Le RGPD prévoit, en effet, que l’amende administrative (pouvant s’élever jusqu’à 10 000 000 d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent) s’applique dans ce cas. Ces montants extrêmement lourds sont des maximums et il faut reconnaître qu’ils ont peu de chances d’être appliqués « dans la vie de tous les jours » de l’entreprise. Cependant, en l’absence de tout précédent, il est aujourd’hui impossible d’évaluer son risque et de savoir qu’elle sera le « tarif » appliqué à une entreprise qui aurait, volontairement, décidé de ne pas notifier à l’autorité de contrôle une violation de données.

Ce qui est somme toute incohérent, c’est que la violation elle-même, qui constitue un manquement à l’obligation de sécurité des données personnelles à laquelle le responsable de traitement est tenu, est sanctionnée des mêmes peines.

Une législation cohérente aurait dû prévoir que l’autodénonciation à l’autorité de contrôle constituait une circonstance de réduction automatique du montant des sanctions. On peut espérer que cela sera le cas dans la pratique des sanctions de la Cnil, mais il n’y a ce jour que des conjectures.

L’obligation d’avoir à notifier la violation de données est d’autant plus difficile à concevoir que, dans beaucoup d’hypothèses, l’entreprise est d’abord victime de l’intrusion laquelle n’est pas forcément le fruit d’une négligence grossière de sa part en matière de sécurité informatique. Pour autant, nous pouvons concevoir les plus vives craintes que le régulateur considère que – par construction – qu’une violation de données est toujours de la faute du responsable du traitement.

A cet égard, la sanction prononcée par la Cnil le 24 juillet 2018 est topique.

Dans ce dossier, l’intrusion dont avait été victime le responsable du traitement était le fruit d’un travail de « hacking » sophistiqué. Les données qui ont pu être compromises n’étaient que des adresses de courrier électronique. Aucune donnée sensible, pas de donnée bancaire, même pas un nom ou une adresse en clair. La Cnil prononce néanmoins une sanction pécuniaire à hauteur de 50 000 euros à l’encontre du responsable de traitement.

Le régulateur est pris dans un biais d’analyse que les responsables de traitement doivent combattre : lorsque l’intrusion a eu lieu, il devient simple de comprendre comment elle a eu lieu et de fermer la brèche par laquelle elle a eu lieu. Mais avant d’avoir ces informations, il est beaucoup plus compliqué voire impossible, de l’anticiper. En d’autres termes, les responsables de traitement, au lieu d’être jugés au regard des informations dont ils disposaient au moment de l’intrusion, sont jugés à l’aune de la connaissance que l’on retire des circonstances de l’intrusion. C’est leur demander de prévoir, à coup sûr, l’avenir. Etrange monde que celui des données personnelles dans lequel la victime est également coupable.

Les responsables de traitement se trouvent ainsi placés devant une situation absurde : même les plus vertueux d’entre eux, lorsqu’ils seront victimes d’une intrusion frauduleuse, seront considérés comme fautifs de par l’existence même de l’intrusion. Nous vivons dans un monde qui est ce qu’il est. Dans ce monde, rechercher la sécurité informatique absolue est vain. Pourtant, c’est bien à une obligation de résultat que l’on soumet les responsables de traitement en la matière.

Sécurité informatique : à tous les coups on perd, pourrait-on dire. L’enjeu est donc de perdre le moins possible et d’investir à temps dans la sécurité des données personnelles.

Autres publications