Tour d’horizon par Optimex Data du webinar de la CNIL de juin 2022 dédié à la violation des données personnelles suite à la croissance exponentielle des cyberattaques.
Webinar CNIL – Violation de données
Comme évoqué dans un article précédent, les cyberattaques sont de plus en plus fréquentes et demeurent les causes principales de violation de données au sein des organismes. Le nombre de notifications de violation de données à la CNIL a par ailleurs augmenté de 79% par rapport à 2020. Mais qu’est-ce qu’une violation de données ? Qui contacter et comment agir ? Comment les éviter ? Nous avons suivi pour vous le Webinaire sur les violations de données personnelles organisé par la CNIL cette semaine, pour vous aider à protéger votre organisme contre ces incidents.
Qu’est-ce qu’une violation de données ?
Une violation de donnée peut être résumée comme étant un incident de sécurité qui porte atteinte à des données personnelles conservées par un organisme. Ce peut être, par exemple, une perte, une destruction, ou encore une divulgation de données à caractère personnel qui peut avoir une origine volontaire ou non, humaine ou informatique et pouvant provenir soit d’une source interne à l’organisme soit d’un facteur externe. La conséquence est que les données sont, à la suite de cet incident, indisponibles, perdues ou divulguées, ce qui peut représenter un risque élevé pour les personnes concernées.
Que faire en cas de violation de données ?
Dès la prise de connaissance de l’incident, la personne en charge de la sécurité informatique ainsi que le DPO doivent être avertis. Le DPO va devoir alors récupérer un maximum d’informations afin de déterminer s’il s’agit bien ou non d’une violation de données. Si l’on est en présence d’une violation de données, l’organisme doit notifier à la CNIL cette violation en détaillant, entre autres, la nature de la violation, les catégories et le nombre approximatif des personnes et d’enregistrements concernés, les conséquences probables de la violation pour les personnes, mesures prises pour remédier à la violation, etc.
A retenir : La notification à la CNIL doit avoir lieu dans les 72 heures suivant la prise de connaissance de la violation de données. Ce délai court à compter de la phase dite d’investigation, où le DPO arrive à déterminer si l’on est bien en présence ou non d’une violation de données.
Comment éviter les violations de données ?
Pour éviter qu’un incident survienne, différentes mesures doivent être mises en place en interne et notamment :
- Mettre en place du chiffrement pour les supports numériques et les appareils mobiles,
- Utiliser des mots de passes robustes et des identifiants différents pour chaque compte utilisateur,
- Effectuer des sauvegardes fréquentes et chiffrées,
- Conserver les dossiers papiers dans des armoires fermées à clé,
- Sensibiliser ses équipes aux bonnes pratiques en matière de sécurité.
Pour résumer : Contactez-nous lorsqu’un incident survient au sein de votre organisme afin que l’on puisse vous aider à déterminer si une violation de données doit être notifiée à la CNIL.
