Comment réagir en cas de violation de données personnelles ?

Publié le :

Dernière modification le :

Vous êtes ici : wp-rgpd.fr > blog > Comment réagir en cas de violation de données personnelles ?

Vous souhaitez en savoir davantage sur la violation de données ?

Contactez-moi

« Une violation de données est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. » (RGPD, Article 4.12)

Votre site affiche un contenu qui n’est pas le vôtre ? Il redirige vers un autre site ? Vous ne pouvez plus vous connecter au back-office ? Vous vous trouvez devant l’écran blanc de la mort, dit white screen of death (WSoD) ? Malgré toutes les mesures que vous avez mises en oeuvre pour assurer sa sécurité, votre site a été piraté !

Vous avez supprimé tous les traitements de données personnelles sur votre site ?

Si votre site ne collecte aucune donnée personnelle, en cas de piratage de celui-ci, il n’y a pas de violation de données.

Qu’est-ce qu’une violation de données personnelles ?

Une violation de données personnelles, c’est une atteinte aux données sur l’un ou l’autre de ces aspects :

Vous découvrez l’existence d’un compte inconnu dans l’interface d’administration de votre site Web ?

C’est une atteinte à la confidentialité des données.

Un scan effectué par votre extension de sécurité WordPress révèle que des modifications indues ont été détectées dans vos fichiers ou répertoires ?

C’est une atteinte à l’intégrité des données.

Suite à un piratage, vous ne parvenez plus à accéder à l’interface d’administration de votre site Web ?

C’est une atteinte à la disponibilité des données.

Sur un site Web, la violation de données peut résulter de diverses causes : perte d’un disque dur externe sur lequel sont stockées vos sauvegardes, mauvaise gestion des habilitations… Mais la cause la plus fréquente reste l’acte malveillant ou le piratage de votre site Web.

En effet, malgré toutes les mesures de protection que vous aurez mises en place, votre site peut être piraté. Car aucun site n’est infaillible, et même les organisations les mieux protégées sont victimes des pirates du Web.

Quelles sont vos obligations en cas de violation de données ?

Une violation de données personnelles vous soumet à plusieurs obligations :

  • La correction de l’incident,
  • La documentation de celui-ci,
  • La notification à la CNIL
  • La notification aux personnes concernées.

Si les 2 premières obligations sont systématiques, les notifications dépendent du risque encouru pour la vie privée des personnes concernées.

Voyons cela plus en détail…

1 · La correction du problème

Dans le cas d’un site WordPress, le piratage a le plus souvent comme origine une faille de sécurité. Les actions à envisager vont dépendre de la nature du problème :

  • Supprimer le compte étranger apparu dans l’administration,
  • Nettoyer les fichiers et la base de données,
  • Renforcer la sécurité de votre site par des contre-mesures techniques appropriées,
  • Remplacer l’extension ayant présenté une vulnérabilité,
  • Réinstaller une ancienne version de votre site n’est à envisager que si vous avez la certitude qu’elle ne présente aucun fichier corrompu, et si vous acceptez de perdre les données ultérieures (comme les dernières commandes si c’est un site e-commerce…),
  • Ou toute autre mesure adéquate…

2 · La documentation de l’incident

Vous devez documenter en interne l’incident, en l’inscrivant au registre des violations de données qui va préciser :

  • La date et l’heure de l’incident et de la découverte, ainsi que les circonstances de cette dernière,
  • La nature de la violation,
  • Si possible : le nombre, même approximatif, et les catégories de personnes concernées (par catégories, on entend « étudiants, mineurs, salariés, patients, clients… »),
  • Le nombre, même approximatif, et les catégories d’enregistrements de données concernées (par exemple, préciser si des sauvegardes sur votre serveur sont concernées),
  • Une description des conséquences possibles pour les personnes concernées, afin d’en évaluer le risque,
  • Les mesures prises ou envisagées pour éviter que pareil incident ne se reproduise et/ou pour atténuer les dommages causés par cet incident.

La forme de ce registre n’est pas imposée, il peut s’agir d’un fichier Word ou Excel.

Enfin, toutes les violations de données doivent être répertoriées, même celles ne nécessitant pas de notification à la CNIL et/ou aux personnes concernées.

3 · La notification à la CNIL

Toute violation de données qui présente un risque pour les droits et libertés des personnes concernées doit faire l’objet d’une notification à la CNIL. La notification n’est donc pas systématique.

Délai pour notification

La notification doit avoir lieu dans les meilleurs délais après constatation de l’incident, et obligatoirement sous 72h (donc 3 jours).

Il se peut que vous n’ayez pas tous les éléments en votre possession pour effectuer une notification complète sous 72h. Dans ce cas, vous pouvez notifier en 2 temps (via une notification initiale, puis une notification complémentaire sous 72h après la notification initiale). Vous préciserez les motifs de ce retard.

Comment notifier une violation de données ?

C’est au responsable de traitement que revient le devoir de notification. La CNIL a mis en place une procédure de notification des violations de données par téléservice.

Des sanctions existent en cas de manquement à votre devoir de notification

En cas de non-respect de l’obligation de notification sous 72h, vous vous exposez à des sanctions financières pouvant atteindre 10M€ ou 2% du CA réalisé au niveau mondial.

4 · La notification aux personnes concernées

Toute violation de données qui présente un risque élevé pour les droits et libertés des personnes concernées doit faire l’objet d’une notification aux personnes concernées.

Non systématique, la notification aux personnes concernées ne s’envisage que s’il y a également eu notification à la CNIL.

Le niveau de risque s’apprécie au cas par cas. Si pour certaines données personnelles le risque peut sembler évident (données bancaires), pour d’autres il faut avoir recours à votre imagination. Pour bien l’évaluer, il faut considérer la revente du fichier de données personnelles à des personnes mal intentionnées, et imaginer les scénarii qui pourraient porter préjudice aux personnes concernées.

Voici des exemples de violations de données qui présentent un risque élevé pour les personnes concernées :

  • Données bancaires (site e-commerce),
  • Site d’un professionnel de santé (données sensibles),
  • Site de la paroisse de votre village (données sensibles),
  • Adresse personnelle croisée avec des dates futures de vacances, sur un site de locations saisonnières (ces données pouvant renseigner des cambrioleurs).

La notification aux personnes concernées doit avoir lieu dans les meilleurs délais, et comporter au minimum :

  • La nature de la violation,
  • Les conséquences possibles pour les personnes concernées,
  • Les coordonnées de la personne à contacter pour obtenir des informations (le DPO, le représentant légal du responsable de traitement, le responsable juridique…),
  • Les mesures prises pour éviter que pareil incident ne se reproduise et/ou pour atténuer les dommages causés par celui-ci,
  • La date du préjudice n’est pas indiquée comme étant obligatoire, mais il est d’usage de la mentionner.

Vous ignorez si le risque est élevé pour les personnes concernées ?

Vous avez la possibilité d’interroger la CNIL qui vous dira si vous devez notifier aux personnes concernées.

Protégez votre site Web d’une violation de données

En plus d’être un cauchemar pour vous en tant que webmaster, un piratage provoque une violation de données personnelles, avec des risques pour la vie privée des personnes et des obligations contraignantes pour vous. Le mieux est donc de l’éviter !

Si aucun site n’est inviolable, il existe néanmoins des règles de sécurité qui permettent de réduire le risque de violation de la sécurité, et donc de violation des données personnelles. Découvrez-les dans l’article sur la sécurité des données personnelles.

Vous souhaitez en savoir davantage sur la violation de données ?

Contactez-moi