La gestion des incidents liés aux données personnelles

Dans la restauration, vous suspectez une intoxication alimentaire ? Il paraît évident que cela doit être signalé aux autorités compétentes ! Dans le même esprit, le RGPD prévoit une obligation d’informer les autorités de régulation (CNIL, ANSSI, agences régionales de santé) en cas d’incident sur les données collectées. Pour cela, il est indispensable de se préparer à cette éventualité et mettre en place des bonnes pratiques au sein de votre structure.

Un incident de sécurité se caractérise par tout événement qui ne fait pas partie du fonctionnement normal d’une organisation et qui entraine soit une réduction ou une interruption de la qualité de service, soit une faille dans la sécurité informatique.
Dans le cadre du RGPD, il peut être identifié comme une opération de fuite ou de perte de données personnelles.

En règle générale, la gestion des incidents informatiques permet d’assurer la reprise de l’activité le plus rapidement possible et garantit que l’impact sur le business soit réduit au minimum pour une organisation.
Pour le RGPD, l’enjeux est aussi de protéger au maximum les individus dont les données personnelles auraient été utilisées.

La gestion des incidents donne lieu à la mise en place d’un (ou de plusieurs) processus qui doit/doivent être réfléchi(s), testé(s) et amélioré(s) en amont d’une éventuelle difficulté.
C’est dans ce dispositif que l’obligation d’informer les autorités de régulation doit figurer.

Au sein de votre structure, vous devez être en mesure de définir une gestion des incidents tenant compte des ressources et des outils techniques dont vous disposez.

Il conviendra de respecter 5 étapes clés :

1. Planifier et préparer

Cette étape consiste à identifier l’ensemble de vos ressources internes et externes qui pourraient être impliquées dans la gestion des incidents, de formaliser cette liste et de la tenir à jour.
Par exemple, il peut s’agir de la direction, de la personne en charge de la sécurité des systèmes d’information, de vos prestataires de services informatiques, des personnes en charge de la communication, etc.

2. Détecter et signaler

À cette étape, il est nécessaire de définir les moyens de veille et les outils d’alerte qui permettent de détecter et d’avertir de l’arrivée d’un incident.
À travers un dispositif de veille, les menaces actuelles sont analysées via des sources internes ou externes (fournisseurs, ANSSI, ASIP, IRT, CERT ¹) ou des fils RSS.
À travers un dispositif de détection et de remontée d’alertes, les activités anormales, suspectes ou malveillantes sont identifiées.

Cette analyse, automatisée, a pour objectif de définir la typologie de l’incident avant de permettre de réagir.

3. Évaluer et décider

Une fois la détection et l’analyse faites et l’incident avéré, la troisième étape du processus consiste à qualifier l’incident pour ainsi déterminer quelle(s) autorité(s) devra/devront être sollicitée(s) entre les agences régionales de santé, l’ANSSI ou la CNIL.

En cas de violation de données personnelles, le RGPD oblige de documenter l’incident, c’est-à-dire l’intégrer dans un registre dans lequel seront consignés les faits de la violation, ses conséquences et les actions prises pour y remédier.

4. Répondre

Dans un premier temps, l’incident doit être résolu le plus vite possible pour que les conséquences soient minimes. Votre structure doit alors mettre en place des actions de secours, quitte à ce que ces mesures soient prises de manière temporaire.
Dans un second temps, vous devez notifier l’incident (en fonction de sa typologie) aux autorités compétentes à travers les formulaires de notification mis en place ².

Si une violation de données est confirmée, votre structure doit systématiquement informer la CNIL en lui fournissant les éléments suivants :

La description de la nature de la violation de données à caractère personnel

Les catégories de données

Le nombre approximatif de personnes concernées par la violation

Les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés

Le nom et les coordonnées du référent qui dans votre cabinet est en charge de la protection des données

La documentation liée à l’incident (faits, conséquences et actions réalisées)

5. Tirer les enseignements

Enfin, comme dans chaque gestion d’incident, une dernière étape de prévention est requise.
Le but est de faire en sorte que l’incident ne se reproduise plus, en corrigeant les failles du système, et en optimisant les mesures prises pour les rendre encore plus efficaces.

¹ ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), ASIP (Agence des Systèmes d’Information Partagés de santé), IRT (Incident Response Team), CERT (Computer Emergency Response Team)
² CNIL : https://www.cnil.fr/sites/default/files/typo/document/CNIL_Formulaire_Notification_de_Violations.pdf
ANSSI : https://www.ssi.gouv.fr/uploads/2016/04/formulaire-declaration-incident-lpm_anssi.pdf
ARS : https://signalement.social-sante.gouv.fr/