Depuis septembre dernier les violations de données s’enchaînent en France. Des grands groupes informent, les uns après les autres, leurs clients de violations de données. mais qu’est ce qu’une violation de données exactement ?
Qu’est-ce qu’une “violation de données” ?
Selon le Règlement Général sur la Protection des Données, il s’agit d’un incident de sécurité ayant un impact sur les données à caractère personnel, c’est-à-dire les données identifiant des personnes, que les organismes publics ou privés traitent.
12. “Violation de données à caractère personnel”, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une manière, ou l’accès non autorisé à de telles données.
Une violation de données peut être dûe à un acte malveillant (par exemple, une cyberattaque), mais aussi à des erreurs ou négligences (par exemple, perdre une clé USB contenant des données de clients).
Des violations de données se produisent ainsi tous les jours, et la plupart sont de manière habituelle sans grande incidence sur nos vies. Certaines font cependant l’actualité, comme les violations subies dernièrement par SFR, Cultura, Intermarché ou Boulanger, en raison du volume de données impactées ou de leur sensibilité.
Dans quels cas y-a-t’il une “violation de données” ?
On considère qu’il y a une “violation de données” lorsque l’incident qui se produit au sein d’un organisme (cyberattaque, erreur de destinataire, perte d’un matériel stockant des données, …) impacte la donnée d’au moins une des manières suivantes :
- la donnée a été accessible, ou est très vraisemblablement rendue accessible, à des personnes qui ne devraient pas en connaître (hacker dévoilant des données sur Internet, informations envoyées par e-mail au mauvais destinataire, partage de la donnée en interne à un service n’en ayant pas besoin, …) ;
- la donnée a été modifiée, de façon anormale ou illicite (donnée chiffrée lors d’une demande de rançon, RIB remplacé par une personne malveillante sur un compte utilisateur qui ne lui appartient pas, …) ;
- la donnée a été supprimée et perdue, de façon anormale ou illicite, avant que sa durée d’utilité n’ait été dépassée (erreur provoquant des suppressions de données, suppressions malveillantes par vengeance ou intention de nuire, …).
Les violations de données dont nous sommes le plus fréquemment informés sont celles au cours desquelles la confidentialité de la donnée a été impactée : souvent, des attaquants réusissant à dérober à un organisme un nombre important de données, afin de les revendre sur le dark web.
Pourquoi sommes-nous notifiés des violations qui surviennent ?
Le RGPD prévoit une obligation pour les organismes (privés et publics) de prévenir les personnes impactées par une violation de données.
Cette obligation générale connaît des aménagements : en pratique, les violations de données de faible ampleur ou gravité ne sont généralement pas notifiées.
La notification, des violations les plus graves donc, peut se faire par e-mail, par courrier, par tout moyen particulier dont dispose l’organisme (un message sur les profils d’un utilisateur après sa connexion à un site par exemple), mais aussi, lorsque le nombre de personnes impactées est trop important, par voie de presse.
Le partage de l’information par communiqué de presse, repris ensuite par différents médias, spécialisés ou non, est aujourd’hui un moyen simple de prévenir les personnes concernées de la survenance d’une violation.
Les organismes ne notifiant pas la Commission Nationale Informatique et Libertés, et les personnes concernées, d’une violation grave s’exposent à des sanctions, dont une amende administrative pouvant s’avérer salée : jusqu’à 10 millions d’euros d’amende ou 2% du meilleur chiffre d’affaire mondial des trois dernières années (ces plafonds sont doublés en cas de récidive).
Vous souhaitez approfondir vos connaissances sur le RGPD ou avez besoin d’assistance pour optimiser la sécurité des données au sein de votre organisation ? Notre équipe d’experts est là pour vous aider. Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.