Les cyberattaques se multiplient et chaque acteur, quels que soit sa taille ou son domaine d’activité, peut être ciblé.
Ces cyberattaques peuvent entraîner une perte de données en cas d’attaque par rançongiciel (ransomware) mais aussi une fuite de données à la suite d’un défaut de sécurité, telle qu’une authentification par un mot de passe trop faible.
Selon les termes du règlement général sur la protection des données (« RGPD »), une violation de données est constituée en cas de perte de disponibilité, d’intégrité ou de confidentialité des données, et ce que ce soit de manière accidentelle ou illicite.
Ainsi, même une perte de disponibilité, suite à une attaque par rançongiciel ou à un incendie par exemple, qui n’aurait donc pas donné lieu à une interception ou à une fuite de données, constitue bien une violation de données au sens du RGPD.
Suite à une violation de données, les entreprises victimes sont tenues de :
- Porter plainte afin de pouvoir être indemnisées, notamment en cas de perte d’exploitation suite à l’indisponibilité des données. Depuis le 24 avril 2023, l’indemnisation d’un assuré ayant subi des pertes et dommages causés par une cyberattaque est subordonnée au dépôt d’une plainte par la victime, dans les 72 heures après la prise de connaissance de l’attaque.
- Notifier la violation de données à la CNIL (ou à son autorité de contrôle compétente), dans ce même délai de 72 heures. La notification se fait directement en ligne sur le site de la CNIL ou de l’autorité compétente via le formulaire dédié. Elle peut être réalisée en deux temps : une notification initiale, d’abord, sous un délai recommandé de 24 heures, puis une notification complémentaire une fois que le responsable de traitement dispose de plus d’informations ou qu’il a remédié à la violation de données. La violation devra être mentionnée dans le registre des violations de données tenu par le responsable de traitement.
- Notifier si nécessaire les personnes concernées : en cas de risques élevées pour les personnes concernées, le responsable de traitement devra également informer les personnes dont les données ont été interceptées de manière non autorisée afin de limiter l’impact sur leur vie privée. Cette notification doit avoir lieu en cas de risque d’usurpation d’identité, d’atteinte à la réputation ou de fraude des moyens de paiement par exemple. L’information peut se faire via l’envoi d’un email doublé d’une information sur le site Internet.
Ce délai de 72 heures s’explique par la volonté du législateur de permettre aux autorités compétentes de disposer rapidement de toutes les informations nécessaires afin de pouvoir poursuivre les auteurs de l’infraction, et lutter contre la cybercriminalité.
Le défaut de notification de la violation de données à la CNIL peut entrainer, sans obligation de mise en demeure préalable, l’application de sanctions financières par cette dernière en cas de contrôle, ainsi que l’application de sanctions pénales (pouvant aller jusqu’à 1.500.000 euros d’amende pour les personnes morales et être assorties de la publication de la décision).
Le cabinet EOS ASSOCIES se tient à votre disposition pour vous accompagner dans la mise en place d’une gestion de crise en cas de violation de données.
Daphnée SPINETTI