11 Mars, 2025
Les violations de données impliquant des données personnelles sont une grande préoccupation pour toute organisation traitant d’informations sensibles à l’ère d’aujourd’hui, c’est le cas des acteurs et des infrastructures des sciences de la vie. Même lorsque la sécurité est renforcée, les violations ne peuvent être évitées; il est donc plus important que jamais de réagir de manière appropriée.
Le Comité européen de la protection des données (EDPB) fournit des lignes directrices précises sur les notifications de violations de données personnelles en vertu du Règlement général sur la protection des données (RGPD). Vous trouverez ci-dessous un résumé des principaux points à retenir de leurs dernières directives.
Qu’est-ce qui constitue une violation de données personnelles?
En vertu du RGPD, une violation de données personnelles est un événement de violation de la sécurité qui entraîne une destruction, une perte, une altération, une divulgation non autorisée ou un accès accidentel ou illégal à des données personnelles. Les violations de données peuvent entraîner des dommages physiques, matériels ou immatériels, notamment:
- Vol d’identité ou fraude
- Perte financière
- Dommage à la réputation
- Retour en arrière non autorisé de la pseudonymisation
- Perte de confidentialité
Types de violations de données personnelles
L’EDPB classe les violations de données personnelles en trois grandes classes
Divulgation ou accès non autorisé à des informations personnelles
Modification non autorisée des informations personnelles
Perte involontaire ou illégale d’accès aux informations personnelles
Que faire en cas de violation de données?
1. Identifier et évaluer la violation
Les organisations doivent également disposer de mécanismes internes pour identifier et gérer les violations, par exemple la journalisation et la surveillance du trafic réseau. Lorsque l’organisation dépend de processeurs de données tiers, des dispositions doivent être prises pour signaler les incidents en temps opportun.
2. Documenter la violation
Chaque violation de données doit être documentée dans un registre des violations, qui doit détailler:
- Nature du manquement
- Catégories et nombre approximatif de personnes concernées
- Conséquences probables
- Mesures d’atténuation prises
3. Informer les autorités compétentes
Si une violation est susceptible d’entraîner un risque pour les droits et libertés des individus, les organisations doivent en informer l’autorité de protection des données (DPA) compétente dans les 72 heures suivant la prise de connaissance de la violation. Lorsque toutes les données ne sont pas accessibles, une première notification doit être effectuée, suivie de mises à jour au fur et à mesure de l’avancement de l’enquête.
4. Informer les personnes concernées (le cas échéant)
Dans le cas où une violation expose les individus à un risque élevé, ils doivent en être immédiatement informés afin qu’ils puissent se protéger. Les organisations doivent utiliser la méthode de communication appropriée afin que les personnes touchées par une violation soient correctement informées en temps opportun.
Prévention des violations futures
S’il est inévitable de réagir aux violations, la prévention est toujours plus souhaitable. L’EDPB recommande l’utilisation des meilleures pratiques suivantes:
Exemples concrets
Pour illustrer comment différentes violations nécessitent des réponses différentes, voici quelques exemples tirés des conseils de l’EDPB:
- Exemple 1: clé USB cryptée manquante
- Exemple 2: pièce jointe d'e-mail mal configurée
- Exemple 3: Attaque de ransomware contre un hôpital
Si le périphérique USB manquant est crypté et que les clés de déchiffrement ne sont pas perdues, la violation peut ne pas être signalée. Mais la tenue de registres reste nécessaire.
Un agent d’assurance accède accidentellement aux détails d’un client en raison d’une mauvaise configuration d’un e-mail. Étant donné que l’exposition des données est faible et que les recours sont effectués rapidement, la notification à la DPA n’est pas requise.
Une attaque de ransomware crypte les dossiers des patients, entraînant un retard dans les interventions chirurgicales et les traitements médicaux. Bien que des enregistrements de sauvegarde soient disponibles, les temps d’arrêt constituent de graves menaces, nécessitant à la fois des notifications DPA et individuelles.
Pensées finales
Face à l’augmentation des cyberattaques, les organisations doivent être prêtes à gérer efficacement les violations de données. En mettant en œuvre des mesures de sécurité robustes et en impliquant votre DPO pour une gestion appropriée des violations de données, les organisations peuvent réduire les risques et rester conformes au RGPD.
Chez MyData-TRUST, nous proposons des services de support DPO pour les organisations des sciences de la vie. Nos DPO sont constamment formés à la gestion des violations de données et des incidents de sécurité, à la détermination du risque de violation et aux obligations de reporting dans les différentes juridictions.
