Points de vue
Les 10 principes du GDPR. #9: Sécurité et notification des violations
Que dit le GDPR sur la manière de sécuriser les données à caractère personnel ?
La garantie que les données à caractère personnel seront traitées de manière sûre constitue un aspect important de la protection des données. Avec un dispositif de sécurité pouvant accaparer jusqu’aux deux tiers des efforts que vous déployez en la matière, autant être efficace ! Alors, que dit le nouveau Règlement général sur la protection des données (GDPR) à propos de la sécurité ?
Auteur : Jan-Jan Lowijs
Une réflexion sur la sécurité moderne
Autrefois, la sécurité signifiait que vous disposiez d’un pare-feu pour tenir les méchants à l’écart et que chaque utilisateur avait un mot de passe contenant au moins six caractères qui empêche ses comptes d’être corrompus. Cette époque est révolue. La réflexion sur la sécurité moderne nous a appris que les seules mesures préventives (à l’instar des pare-feux et des mots de passe) ne suffisent plus. Aujourd’hui, la sécurité implique d’être capable de prévenir la compromission des actifs numériques, mais aussi de déceler les éventuelles menaces qui pèsent sur eux et de répondre aux incidents afin de revenir à la normalité.
Et dans le GDPR, la rubrique consacrée à la sécurité a été largement étoffée par rapport à la Directive sur la protection des données qui le précédait. La sécurité est désormais décrite dans trois articles (art. 32, 33 et 34), contre un seul auparavant (art. 17), et s’est vue compléter par des obligations de notification des violations. Que dit précisément la Section 2 du Chapitre IV du GDPR ?
Sécuriser les données traitées
En vertu du GDPR, vous devrez toujours vous assurer de sécuriser convenablement les données à caractère personnel que vous traitez. La description de base de la manière de procéder n’a pas évolué par rapport à la définition contenue dans la directive. Là encore, la sécurité est décrite comme un processus de gestion des risques : il convient dans un premier temps d’évaluer le risque, puis d’envisager les possibilités en termes de sécurité avant de définir les dispositifs à adopter, en fonction du ratio risque/coût. Cela n’a rien de nouveau, puisqu’une sécurité adéquate des informations a toujours pris cette forme. Il existe toutefois certains aspects à prendre en compte.
- Tout d’abord, la nécessité d’évaluer les risques liés aux droits et libertés des personnes physiques et non, par exemple, les risques financiers auxquels votre entreprise peut être confrontée lorsque la sécurité des données à caractère personnel est compromise. Si vous pouvez bien entendu tenir compte de ces derniers, l’évaluation des risques directs est impérative. L’évaluation des risques liés à la sécurité des données à caractère personnel doit au moins tenir compte de l’impact des failles de sécurité sur la personne physique concernée. Le reste est facultatif.
- Ensuite, le GDPR fournit plusieurs exemples de mesures de sécurité. La pseudonymisation1 et le chiffrement des données à caractère personnel sont cités comme des mesures de sécurité efficaces, puisqu’il est avéré que la sécurité est liée à la triade Confidentialité – Intégrité – Disponibilité et à la résilience face aux perturbations. Par ailleurs, la reprise après incident et l’existence de processus permettant d’évaluer régulièrement l’état de vos mesures de sécurité figurent également parmi les suggestions.
- Troisièmement, la sécurité ne relève plus de la seule responsabilité du responsable du traitement des données. Le sous-traitant est lui aussi désigné dans les articles consacrés à la sécurité du GDPR. Il lui incombe désormais d’appliquer convenablement les mesures de sécurité, indépendamment du responsable de traitement des données. Cela signifie aussi que les sous-traitants peuvent être contactés directement par les autorités de contrôle si leur sécurité est défaillante, et qu’ils ne peuvent plus s’abriter derrière les responsables de traitement des données.
1Le GDPR définit la pseudonymisation comme «le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires».
Notification des violations
La nouveauté du GDPR est la notion de notification des violations : si des mesures de sécurité (préventives) sont violées et que des données à caractère personnel sont traitées de manière illicite, le responsable de traitement des données doit signaler cette violation à l’autorité de contrôle dans un délai de 72 heures, mais aussi éventuellement aux personnes physiques concernées qui sont affectées. C’est le cas à moins que vous ne puissiez établir que la violation n’a engendré aucun risque réel pour les sujets des données ou d’autres personnes physiques.
Bien que cette notion soit nouvelle dans le GDPR, cette exigence de notification de la violation est un mécanisme bien connu. Elle est inscrite depuis un certain temps dans la Directive “ePrivacy” (relative à la protection de la vie privée dans le secteur des communications électroniques), ce qui signifie que les entreprises de télécommunication de l’UE gèrent déjà cette question au quotidien. Plusieurs pays, à l’instar des Pays-Bas, assument d’ores et déjà des obligations de notification des violations. De nombreuses orientations ont par conséquent été publiées quant à la manière d’établir si une violation est suffisamment grave pour imposer une notification et, le cas échéant, comment les violations doivent être notifiées.
Cela étant dit, si vous subissez une violation de sécurité (et la question n’est pas ici de savoir si cela vous arrivera, mais quand cela arrivera), sa notification ne sera pas votre première préoccupation. Vous vous concentrerez sur la réponse à apporter à la violation, en tenant compte de toutes les mesures à envisager, comme lutter contre d’éventuelles intrusions, déterminer l’ampleur des dommages et revenir à la normale. La notification de la violation à l’autorité de contrôle est l’une des composantes de votre réponse, mais vraisemblablement pas celle qui sera la plus prioritaire.
Pour vous assurer de son exécution adéquate, la notification de violation doit être ancrée dans votre plan de réponse aux incidents de sécurité, à chaque étape énoncée par celui-ci. Comme pour tous les autres processus de réponse, il convient de définir un sous-processus de notification des violations, comprenant les fonctions et responsabilités, un descriptif du processus, des listes de vérifications, etc. Cette démarche présente en outre l’avantage de prendre, comme besoin, automatiquement en compte la notification des violations lors du test du plan de réponse (que vous ne manquez pas de réaliser, n’est-ce pas ?).
Perspectives
Qu’est que tout cela signifie ? Devez-vous désormais crypter et pseudonymiser le moindre fragment de données que vous traitez ? Devez-vous redéfinir la totalité de vos processus de traitement des incidents pour les axer autour des notifications des violations ? Non, ce ne serait pas judicieux.
Vous devez résister à cette pression et continuer à agir comme vous l’avez toujours fait (ou auriez dû le faire), c’est-à-dire en évaluant de manière adéquate les risques avant de définir vos mesures de sécurité en fonction des résultats. Abordez les mesures de sécurité techniques et organisationnelles et, point très important, les dispositifs des trois domaines que sont la prévention, la détection et la réponse. Enfin, une partie de votre réponse doit intégrer des processus de notification des violations.
Au bout du compte, si votre organisation possède déjà un dispositif de sécurité efficace, le GDPR vous dit simplement de continuer à faire du bon travail. Si vous n’êtes pas encore à niveau, le GDPR vous encourage à progresser. Avec cet objectif final en tête : si vous souhaitez qu’on vous confie des données à caractère personnel, assurez-vous de mériter cette confiance en protégeant les données de manière adequate.
Recommandations
Les 10 principes du GDPR. #10: Le guichet unique
L’impact du mécanisme de guichet unique