Au secours, une fuite de données ! Quand et comment la signaler ?
Aux Pays-Bas, la nouvelle loi « Datalek Meldplicht » (obligation de déclaration des fuites de données, ndlr) est entrée en vigueur depuis le 1er janvier 2016. En Belgique, tous les opérateurs de télécommunications sont déjà soumis à cette loi, mais à partir de 2018, le règlement sera étendu à toutes les autres organisations. Il s’agit d’un amendement de la loi sur la protection de la vie privée, et ce à deux niveaux principaux :
- une obligation de déclaration plus stricte s’appliquera dès à présent
- la Commission vie privée disposera d’un plus grand pouvoir d’infliger des amendes
Cet amendement de la loi est important pour tous ceux qui doivent traiter des données à caractère personnel. Ce sont surtout les administrateurs de boutiques en ligne qui doivent y prêter attention, mais les sites web « ordinaires » qui traitent des données à caractère personnel doivent eux aussi être prudents.
Bien que cela fasse déjà un bon moment la nouvelle loi est entrée en vigueur, il existe toujours de nombreuses zones d’ombre : quand doit-elle être appliquée et qu’est-ce que cela signifie pour votre organisation ?
La loi sur l’obligation de déclaration des fuites de données en quelques mots
Comme nous l’avons déjà dit précédemment, tous les opérateurs de télécommunications de Belgique sont obligés de signaler toute fuite de données à caractère personnel. Ils doivent faire cette déclaration auprès de la Commission de la protection de la vie privée, mieux connue sous le nom de Commission vie privée. Dès 2018, toutes les entreprises belges seront soumises à la loi.
Une fuite de données a lieu lorsque, par exemple, un hacker est parvenu à s’introduire dans votre base de données qui contient des données à caractère personnel. Dans un tel cas, vous devez prendre contact avec la Commission vie privée.
Lorsqu’il s’agit d’un cas grave de perte de données, vous devez également informer les personnes concernées, c’est-à-dire les personnes dont les données ont été divulguées.
D’une faille de sécurité à une obligation de déclaration auprès des personnes concernées
La loi suit un modèle graduel. Chaque fuite de données est différente et doit donc être traitée différemment.
Pour chaque incident de sécurité, vous devez vérifier ce qui a mal tourné et contrôler s’il y a bel et bien eu une fuite de données à caractère personnel. Mais attention : l’obligation de déclaration est plus vaste que ce que vous pourriez imaginer. Si vous envoyez accidentellement un e-mail contenant des données à caractère personnel à la mauvaise personne, il s’agit également d’une fuite de données. Aussi anodin que cela puisse paraître, un tel incident doit en principe aussi être déclaré auprès de la Commission vie privée.
48 heures pour faire la déclaration
Dès l’instant où vous avez découvert une faille, le chrono se met à tourner : vous disposez de 48 heures pour signaler la fuite de données. Si les entreprises disposent de 2 jours, c’est pour qu’elles puissent évaluer avec précision l’ampleur des dégâts. Ainsi, on évite aussi tout risque de fausse alerte.
Astuce : Vous ne devez pas signaler chaque incident de sécurité. Ce n’est que lorsque des intrus ont véritablement mis la main sur des données à caractère personnel que l’on parle de fuite de données.
À partir de quand devez-vous informer les personnes concernées au sujet de la fuite de données ?
La déclaration auprès de la commission n’implique pas automatiquement que vous deviez informer les personnes concernées. Ce n’est que lorsque la fuite de données « peut avoir des conséquences néfastes sur la vie privée » des personnes concernées que vous êtes obligé de la déclarer. Et lorsqu’il est question de données de cartes de paiement ou d’une mésaventure comme celle qu’a connue Ashley Madison, le célèbre site de rencontres adultères, cela semble plutôt évident.
Mais à partir de quand un incident a-t-il des « conséquences néfastes » ? La définition est pour le moins vague. C’est donc en partie à vous qu’il incombe de déterminer si c’est le cas ou non. Heureusement, il y a toujours la Commission vie privée qui vous expliquera la marche à suivre, et si vous devez ou non informer les personnes concernées.
Le chiffrement à la rescousse !
Vous pouvez protéger vos données en prenant des mesures techniques, comme le chiffrement ou le hachage. Le hachage permet de « mélanger » vos données grâce à l’utilisation d’un algorithme. Les données sont ainsi rendues illisibles pour les humains, mais un ordinateur peut à nouveau les rendre utilisables. Si vous avez opté pour cette précaution, vous n’êtes pas obligé d’informer les personnes concernées. Vous devez cependant informer la Commission vie privée.
Le seul inconvénient est que vous devez donc aussi vérifier si votre chiffrement a survécu à la faille. Si ce n’est pas le cas, vous devrez tout de même informer les personnes concernées.
Vous risquez une sérieuse amende
Malheureusement, bien que cela soit également compréhensible, des amendes sont également liées à la perte de données à caractère personnel. Mais attention, car lorsque vous déclarez votre fuite de données auprès de la Commission vie privée, cela ne signifie pas forcément que vous recevrez une amende. Généralement, vous recevrez une injonction vous obligeant à renforcer votre sécurité.
Néanmoins, si l’infraction est intentionnelle ou s’il est question de négligence grave, cette amende peut être infligée sur-le-champ. Et elle est très sévère !
Le montant d’une amende pour une fuite de données peut en effet s’élever jusqu’à 10 millions d’euros.
(ou 2 % du chiffre d’affaires annuel global de l’entreprise concernée, si celui-ci est supérieur à 10 millions d’euros).
Pour déterminer le montant de l’amende, on tient compte des facteurs suivants :
- La nature de la fuite de données
- La gravité de la situation
- La durée de la fuite
- Le caractère accidentel ou intentionnel de la fuite
- Les mesures qui ont été prises pour limiter les dégâts
- L’existence de fuites de données antérieures
- Les efforts qui ont été fournis pour trouver une solution en collaboration avec la Commission vie privée.
L’objectif de la Commission vie privée n’est donc pas de distribuer des amendes à tout-va, mais bien de sensibiliser les administrateurs de sites, notamment ceux qui utilisent des données à caractère personnel. Ce qui compte avant tout, c’est de limiter toute forme de dégât.
Qu’entend-on par « négligence grave » ?
Imaginez que vous vendiez des données à caractère personnel à un tiers. Il s’agirait clairement d’une infraction. Mais la « négligence grave » peut naturellement être interprétée de façon beaucoup plus large.
- Que se passe-t-il si vous avez raté la dernière mise à jour logicielle de Magento ?
- Ou si vous n’utilisez aucun certificat SSL ?
- Ou peut-être n’avez-vous pas installé tous les patches à temps ?
À l’heure actuelle, rien de tout cela n’est stipulé dans la loi. On y évoque seulement des « mesures de sécurité courantes », mais ce concept est bien sûr très subjectif. Lorsqu’elle décide du montant de votre amende, la Commission vie privée détermine à quel point vos mesures de sécurité sont courantes. Si leur verdict ne correspond pas du tout avec ce que vous aviez à l’esprit, il est toujours possible de le contester devant un juge.
À lire aussi : Votre site web est toujours protégé grâce au Patching Automatique de Combell
Comment pouvez-vous éviter une fuite de données ?
- Gardez toujours à l’esprit ces « mesures de sécurité courantes ». Rédigez une liste des mesures que vous estimez indispensables, de manière à pouvoir prouver que vous avez bel et bien fait des efforts pour protéger le mieux possible les données en cas d’éventuels problèmes.
- Faites la transition d’un site web HTTP à un site web HTTPS, comme lorsque vous utilisez un certificat SSL. Un tel certificat permet d’envoyer les données de vos clients sous forme chiffrée, et d’éviter tout risque d’abus à ce niveau.
À lire aussi : Combell augmente le niveau de sécurité des clients grâce à Let’s Encrypt
- Veillez à avoir une version sûre de vos SGC. Il ne doit pas forcément s’agir de la toute dernière version, mais bien de la dernière version sûre.
- Tenez à l’œil vos patches (de votre logiciel Magento, par exemple). Si vous recevez un e-mail de Magento au sujet d’un patch de sécurité, veillez à y prêter attention !
Astuce pour les clients de Combell : activez la fonction de patching automatique dans votre panneau de contrôle My Combell.
- Surveillez attentivement l’activité sur votre site. Vous aurez ainsi plus de chances de détecter un hacker potentiel avant qu’il puisse s’introduire dans vos systèmes. Veillez à toujours avoir une longueur d’avance sur eux, de manière à ne pas ternir votre réputation.
- Ne modifiez jamais votre site depuis des ordinateurs publics. Et encore moins si vous suspectez qu’ils puissent utiliser des enregistreurs de frappe ou des logiciels dépassés.
- Veillez à avoir un plan d’action au cas où quelque chose devait mal tourner. Pensez à une sorte de feuille de route ou à une « équipe de crise fuite de données ». La complexité de ce plan d’action dépendra naturellement de la taille de votre organisation. Gardez cependant à l’esprit que vous ne disposez que de peu de temps pour déclarer la fuite. Si vous êtes préparé à ce genre d’éventualité, vous et votre équipe serez nettement moins stressés en cas de problème.
Encore deux ans pour vous préparer du mieux que vous le pouvez
Après avoir lu cet article, vous partagerez très probablement notre avis : il est préférable d’éviter de devoir contacter la Commission vie privée. Nous devons toutefois rester réalistes et avouer qu’il existe de très nombreuses menaces de sécurité sur Internet. Même si, en tant qu’entreprise autre que les opérateurs de télécommunications, vous disposez encore de deux ans pour vous préparer comme il se doit, profitez de ce délai pour éviter les fuites de données à 100 % !
À lire aussi : Un certificat SSL premium ou un certificat Let’s Encrypt gratuit… que choisir ?