L’année 2024 a fourni de nombreux exemples de violations de données retentissantes survenues en France. Quelles obligations incombent aux responsables de traitement ? Pour quelles sanctions éventuelles ? Quels bénéfices à adopter une solution de gestion des données ?
Une violation de données se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite. Il s’agit de tout incident de sécurité, d’origine malveillante ou non, se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.
Les violations de données peuvent prendre plusieurs formes : suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ; perte d’une clé USB non sécurisée contenant une copie de la base clients d’une société ; introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves…
France Travail et Viamedis / Almerys : des exemples très médiatisés
En mars 2024, France Travail a été victime d’une cyberattaque ayant conduit à une fuite de données susceptible de toucher 43 millions de personnes. Ce nombre, qui reste à confirmer, concerne les personnes actuellement inscrites sur la liste des demandeurs d’emploi ou qui l’ont été au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur le site francetravail.fr. Les données personnelles ayant fuité sont les noms et prénoms, les numéros de sécurité sociale, les identifiants France Travail, les adresses mail et postales ainsi que les numéros de téléphone.
Deux mois plus tôt, fin janvier 2024, deux opérateurs assurant la gestion du tiers payant des complémentaires santé – Viamedis et Almerys – ont été victimes d’une attaque informatique. Ces deux organismes ont vu les données nécessaires à leurs missions être compromises lors de cette violation. Au total, cette fuite de données a concerné plus de 33 millions de personnes. Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit. Les données telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels ne seraient pas concernées par la violation.
Des obligations pour se prémunir des violations de données
Tous les organismes qui traitent des données personnelles doivent mettre en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d’incident. Les obligations prévues par le RGPD visent à éviter qu’une violation cause des dommages ou des préjudices aux organismes comme aux personnes concernées. Plus précisément, les obligations concernant les violations de données sont prévues par les articles 33 et 34 du RGPD. Elles visent à préserver à la fois les responsables du traitement (afin de protéger leur patrimoine informationnel, en leur permettant notamment de sécuriser leurs données), mais aussi les personnes affectées par la violation (afin d’éviter qu’elle ne leur cause des dommages ou préjudices, en leur permettant notamment de prendre les précautions qui s’imposent en cas d’incident).
L’article 33 du RGPD prévoit notamment que, en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. Sans motif légitime, le non-respect de l’obligation de notification dans les 72 heures constitue un manquement au RGPD, qui peut être sanctionné par la CNIL. Un tel manquement est passible d’une amende de 10 millions d’euros ou 2 % du chiffre d’affaires.
Quant à l’article 34 du RGPD, il stipule que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement est dans l’obligation de communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. La communication n’est cependant pas nécessaire si le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées (chiffrement ou anonymisation des données par exemple), s’il a pris des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ou si cette communication exigerait des efforts disproportionnés. Dans ce dernier cas, il est le plus souvent procédé à une communication publique.
Une solution logicielle pour prévenir les violations de données : l’exemple de deepeo
Déployer une solution logicielle de gestion de données est le meilleur moyen de se prémunir contre les violations de données. C’est le cas notamment de la solution deepeo fournie par Infotel. Grâce à ses fonctionnalités d’anonymisation des données, deepeo fait franchir une étape supplémentaire à votre système d’information et à sa sécurisation. C’est en effet le seul système sur le marché capable de nettoyer et d’anonymiser les données des clients, vous permettant ainsi d’être en conformité avec les exigences du RGPD et de déjouer les plans des cybercriminels.
Pour aller plus loin, découvrez comment notre solution logicielle deepeo peut vous aider grâce à ses fonctionnalités
Suppression des données
Supprimez toutes les données relatives à la personne concernée que vous n’avez plus de raison commerciale ou juridique de conserver, conformément aux règles sur les données personnelles..
Anonymiseur de Données
Rendre anonymes les données d’une personne concernée au lieu de les supprimer.