Le RGPD cherche à vouloir responsabiliser les responsables de traitement de manière générale et renforcer ainsi le lien de confiance pouvant exister avec les personnes dont les données sont collectées. Il est nécessaire ainsi de comprendre ce que l’on entend par fuite ou violation de données afin de savoir quelles sont les étapes à suivre lorsque ce problème survient et s’il faut notifier ou pas les différents acteurs de l’incident.
En effet, une violation de données peut avoir des conséquences importantes pour l’organisme qui en est victime. D’abord d’un point de vue organisationnel, puisqu’il oblige à devoir répondre et corriger le problème par des mesures techniques tout en devant potentiellement stopper son activité le temps de résoudre la crise, voir même de devoir mettre en place des plans de secours en cas de paralysie de l’activité (ex : plan de continuité ou de reprise de l’activité en cas de rançongiciel). Ensuite du point de vue de la confiance et de l’image de l’organisme victime. En effet, le public est de plus en plus alerte quand aux problématiques touchant aux données personnelles, notamment les fuites avec une multiplication des cas médiatisés ces dernières années (ex : récemment l’Autorité Nationale des Titres de Transport). Sans compter que des fuites de données ont des conséquences concrètes sur les individus en termes de cybersécurité comme de l’usurpation d’identité, des tentatives d’escroquerie ou plus simplement un piratage des comptes en ligne. Aussi il est important d’avoir à l’esprit ces questions et de ne pas traiter le problème uniquement dans son volet opérationnel vis-à-vis des activités internes à l’organisme victime de la violation.
Quelles sont les étapes à respecter lors d’une fuite ou une violation de données ?
Il est important dès lors qu’un organisme traitant des données a connaissance d’une violation ou une fuite de données personnelles d’établir une cartographie de l’incident. Les questions qui doivent se poser sont les suivantes :
