Ransomware et violation de données à caractère personnel : quel rôle pour le DPO ?

Selon une étude statistique du CESIN, près de 80% des entreprises françaises ont constaté au moins une cyberattaque au cours de l’année 2018. Si 2019 a connu à son tour un nombre exponentiel d’attaques informatiques, 2020 ne semble pas être épargnée – et la récente attaque virale dont a été victime Bouygues Construction semble le confirmer. Prenant souvent la forme de ransomwares, ces multiples attaques visent tout type d’organismes : entreprises privées (TPE, PME et groupes), entreprises publiques, établissements hospitaliers, collectivités territoriales, associations …

 

Le terme « ransomware », défini par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), est un programme malveillant empêchant l’utilisateur d’accéder à ses données (en bloquant l’accès par un procédé technique comme le chiffrement de celles-ci) et lui délivrant des instructions pour payer une rançon en vue d’obtenir le déblocage des fichiers ou du système.

 

Parmi les données chiffrées par le pirate figurent très régulièrement des données à caractère personnel. C’est pourquoi l’intervention immédiate du responsable de traitement – ou en pratique du Délégué à la Protection des Données (« DPO » ou « Data Protection Officer ») lorsqu’il en a été désigné un – est nécessaire et importante.

 

I) Obligations de notification à la Commission Nationale de l’Informatique et des Libertés (CNIL)

Les articles 33 et 34 du Règlement 2016/679 du 27 avril 2017 sur la protection des données (dit « RGPD ») mettent à la charge du responsable de traitement trois obligations qui – en pratique – sont assumées par le DPO lorsqu’il y en a un[1].

 

La première obligation consiste à documenter en interne la violation de données à caractère personnel. Pour ce faire, le DPO doit se faire assister des personnes compétentes au sein de l’entreprise, notamment la direction des systèmes d’information, ou le prestataire informatique le cas échéant.

Cette action se matérialise par la tenue d’un registre des violations de données dans lequel doivent être consignées toutes les violations de données, en ce compris celles non soumises à obligation de notification. Le registre des violations doit contenir les faits caractérisant la violation (notamment les données à caractère personnel concernées, le nombre potentiel de personnes concernées et la nature de cette violation), ses effets et les mesures prises pour y remédier.

Dans le cas d’un ransomware, le DPO sera donc amené à indiquer :

      • Les coordonnées du DPO le cas échéant, ou d’un autre point de contact auprès duquel des informations complémentaires peuvent être obtenues ;
      • La nature de la violation: il conviendra d’identifier le type de faille de sécurité relatives aux données à caractère personnel, à savoir faille de confidentialité, d’intégrité ou de disponibilité[2] ;
      • Les faits caractérisant la violation: par quel(s) moyen(s) le programme malveillant s’est introduit dans le système informatique ? Quand ? Pendant combien de temps ? Quelles sont les circonstances de la découverte et les origines de l’incident ? ;
      • Les catégories et le nombre approximatif d’enregistrement de données à caractère personnel concernées : par exemple des données à caractère personnel (état civil, coordonnées, données de localisation, etc) et/ou données sensibles (opinion raciale ou ethnique, données de santé, orientation sexuelle, etc) et combien sont potentiellement affectées ;
      • Si possible, les catégories et le nombre approximatif de personnes concernées (employés, utilisateurs, adhérents, mineurs, personnes vulnérables, personnel militaire, personnes non déterminées, etc) ;
      • Les effets (ou conséquences probables) de la violation : par exemple y a-t-il un risque de diffusion de ces données ? d’utilisation détournée ? de piratage de comptes utilisateurs ? ;
      • Les mesures dont la mise en œuvre est envisagée (ou les mesures prises) pour remédier à la violation : il s’agit là de l’ensemble des moyens techniques et organisationnels à court et moyen termes pouvant permettre d’atténuer les conséquences de l’attaque voire d’éviter qu’elle ne se reproduise.

Cette documentation permet d’une part à la CNIL de vérifier le respect des règles relatives à la gestion des failles de sécurité, et d’autre part de satisfaire plus largement à l’obligation générale du responsable de traitement de documenter sa conformité (conformément au principe d’accountability).

 

 

La seconde obligation consiste à notifier l’incident à la CNIL, si ce dernier constitue un risque au regard de la vie privée des personnes concernées (article 33 du RGPD). L’appréciation de ce risque doit faire l’objet d’une analyse au cas par cas.

 

Cette notification se fait par téléservice au moyen d’un formulaire à remplir sur le site de la CNIL. Les éléments à indiquer dans cette notification sont les mêmes que ceux décrits précédemment pour remplir l’obligation de documentation interne, auxquels s’ajoute un descriptif des mesures de sécurités prises avant l’incident. Il est donc d’ores et déjà primordial pour toute entreprise de documenter les mesures de sécurité mises en œuvre, par exemple au moyen d’une Politique de protection des données à caractère personnel et plus largement d’une Politique de Sécurité des Systèmes d’Information (ou PSSI).

 

La notification auprès de l’autorité doit être faite dans les 72 heures suivant la prise de connaissance de l’incident, toute notification au-delà de ce délai devant être accompagnée des motifs du retard.

 

En pratique, la CNIL recommande de procéder immédiatement à une notification initiale dans le délai de 72 heures[3], cette notification pouvant être complétée postérieurement à l’expiration du délai à condition que cela soit justifié (par exemple si des investigations complémentaires sont nécessaires).

 

 

Pour finir, une troisième obligation s’impose au responsable de traitement, hors quelques exceptions, si le DPO estime que la violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique  : notifier l’incident aux personnes physiques concernées (article 34 du RGPD). La loi ne prescrit pas de formalisme particulier pour cette notification. Elle doit toutefois a minima contenir, en des termes simples et clairs, la nature de la violation de données, les coordonnées du responsable de traitement ou du DPO, les conséquences probables de la violation et les mesures prises pour y remédier. Il est important pour le DPO de s’assurer de conserver la preuve de cette notification.

 

A noter que lorsque la violation se produit chez le sous-traitant ou est constatée par celui-ci, le sous-traitant doit notifier au plus vite le responsable de traitement afin qu’il puisse satisfaire aux obligations évoquées ci-avant.

 

A titre indicatif et selon la CNIL, entre mai et octobre 2018, près de 750 violations de données personnelles ont été déclarées à l’autorité, concernant les données d’environ 34 millions de personnes et ayant pour origine dans 65% des cas un acte externe malveillant parmi lesquels des ransomwares. Le nombre de déclarations avoisinait les 1300 en janvier 2019.

 

II) Autres notifications à effectuer en fonction du profil de l’entreprise

En plus de faire l’objet d’une notification obligatoire auprès de la CNIL, l’incident et/ou la violation de données doit également être notifié à d’autres autorités en fonction du profil de l’entreprise :

 

      • Lorsque l’entreprise est un établissement de santé, l’Agence Régionale de Santé (ARS) doit être notifiée de l’incident[4].
      • Lorsque l’entreprise est un opérateur[5], c’est l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).

 

La justification de cette notification supplémentaire à des autorités spécialisées réside dans l’intérêt stratégique lié à l’activité de la structure victime de l’incident. En outre, elle permet à l’entreprise de bénéficier d’une aide technique spécialisée permettant un retour à la normale dans de meilleurs délais[6].

 

III) Comment se préparer en amont ?

Nombreuses sont les entreprises – en particulier les TPE/PME – n’ayant jamais véritablement anticipé la survenance d’une cyberattaque type ransomware dans leur système informatique avant que celle-ci ne survienne.

 

Pourtant, le délai de 72 heures imposé par le RGPD pour procéder à l’identification et à la notification de l’incident ne permet pas d’improviser.

 

C’est pourquoi il est recommandé aux DPO de s’y préparer et de mettre en place avec le service informatique de l’entreprise (ou le prestataire informatique le cas échéant) des mesures comme la prévention du personnel[7], ou encore un processus de gestion des incidents permettant la prévention, l’identification et l’évaluation de l’impact de l’incident, la mobilisation rapide des personnes compétentes et la constitution de preuves juridiques en vue d’éventuelles poursuites de son auteur.

 

Cela peut également passer par l’élaboration d’un processus permettant une poursuite de l’activité malgré un incident technique, tel un Plan de Continuité d’Activité (PCA), ce qui s’inscrit dans l’objectif de disponibilité constante des systèmes et des services de traitement posé par l’article 32 du RGPD.

 

IV) Comment réagir après la cyberattaque ?

Une multitude de recours contentieux peuvent permettre à la victime d’une cyberattaque de faire valoir ses droits. Très synthétiquement, ces recours reposent en général sur deux types de réponse : une réponse pénale et une réponse civile, mais peuvent varier en fonction des opportunités de l’espèce.

 

La réponse pénale

Une fois que la cyberattaque a eu lieu et que l’obligation de documentation interne a été remplie – et le cas échéant, celles de notifications aux organismes et personnes concernées -, le DPO peut notamment déposer une plainte au commissariat de police ou à la gendarmerie la plus proche, ou s’adresser au Procureur de la République du Tribunal compétent, voire, s’il dispose d’éléments de preuve suffisants, saisir les juridictions pénales par le biais d’une citation directe.

 

La réponse civile

Après avoir qualifié juridiquement l’attaque – c’est-à-dire avoir déterminé les infractions commises et sanctionnées par la loi -, le responsable de traitement ou le DPO peut, en fonction des éléments de preuve dont il dispose, mettre en œuvre une requête aux fins d’identification afin d’identifier l’auteur de la cyberattaque. Cette procédure à fait l’objet d’un précédent article (que vous retrouverez ici) et est un préalable en vue d’une action civile en dommages et intérêts contre l’auteur.

 

*     *

*

 

AGIL’IT se tient à votre disposition pour vous éclairer davantage sur la mise en œuvre de mesures préventives ou sur les réponses judiciaires consécutives à une cyberattaque.

 

Par AGIL’IT – Pôle IT, Télécoms & Data protection
Sylvie JONAS, Avocate associée
Morgane BOURMAULT, Avocate

 

[1] Toutes les actions qui sont ici présentées comme à la charge du DPO pèsent directement sur le responsable de traitement lorsqu’aucun DPO n’a été désigné.

[2] Le Comité Européen de protection des données (CEPD) classe les failles de sécurité relatives aux données à caractère personnel en trois catégories à partir des critères suivants : les données ont fait l’objet d’une divulgation ou d’un accès non autorisé ou accidentel (confidentialité), d’une altération non autorisée ou accidentelle (intégrité) ou encore d’une impossibilité d’accès ou d’une destruction non autorisée ou accidentelle (disponibilité).

[3] Conformément à l’article 83-II de la Loi Informatique & Libertés, lorsque l’incident concerne un fournisseur de services de communications électroniques accessibles au public la CNIL, mais également les abonnés ou autres personnes physiques concernées, doit [/doivent] être avertie[s] sans délai.

[4] Une telle notification doit également être faite à l’ARS lorsque l’incident se produit dans un hôpital des armées, un laboratoire de biologie médicale ou un centre de radiothérapie.

[5] Est entendu ici un Opérateur d’Importance Vitale (OIV), Opérateur de Services Essentiels (OSE) ou Fournisseur de Service Numérique (FSN) mettant à disposition des places de marché, des moteurs de recherche en ligne et des services d’informatique en nuage, prestataires de services de confiance , ou opérateurs Télécom

[6] Un exemple récent en date est le ransomware dont a été victime le service informatique du CHU de Rouen en novembre 2019, à l’occasion duquel cinquante membres de l’ANSSI ont été dépêchés sur place afin de résoudre la crise. L’ANSSI est intervenue 69 fois au cours de l’année 2019.

[7] Sur ce point, voir les affiches de sensibilisation du site cybermalveillance.gouv.fr