(par Federica De Stefani, avocate et responsable d'Aidr Regione Lombardia) On entend (de plus en plus) souvent parler de violation de données et la demande qui en découle, presque naturellement, concerne la possibilité de l'éviter ou, au moins, de contenir ce.
La réponse, malheureusement, est négative, il n'est pas possible d'éviter une violation de données puisque le « risque zéro » n'existe pas.
Il est certes possible de limiter les opportunités de tomber dans le « piège » du cyber incident et il est également possible de limiter les conséquences qui en découlent, mais c'est une autre affaire.
Pour comprendre le phénomène de la violation de données, très souvent identifiée exclusivement à une attaque de hacker, il est nécessaire de comprendre de quoi il s'agit.
Qu'est-ce que la violation de données
Le terme « violation de données » indique une violation de la sécurité qui implique - accidentellement ou illégalement - la destruction, la perte, la modification, la divulgation non autorisée ou l'accès aux données personnelles transmises, stockées ou autrement traitées.
Comme vous pouvez le voir, une violation de données peut entraîner la perte de données qui ne découlent pas d'une attaque de pirates informatiques, mais elle peut également dériver de la perte de la disponibilité de celles-ci, comme cela se produit dans l'hypothèse où il y a, par exemple, un vol d'appareil .
Lorsque la violation de données se produit
Les types de violation de données sont assez variés et donc, à titre d'exemple, on peut indiquer l'accès ou l'acquisition de données par des tiers non autorisés, le vol ou la perte d'appareils informatiques contenant des données personnelles comme relevant de l'impossibilité d'accès. les données dues à des causes accidentelles ou à des attaques externes, des virus, des logiciels malveillants, etc., la modification délibérée des données personnelles, la perte ou la destruction de données personnelles en raison d'accidents, d'événements indésirables, d'incendies ou d'autres catastrophes, la divulgation non autorisée de données personnelles.
Où une violation de données peut se produire
Une violation de données, comprise, comme mentionné, comme une violation qui affecte la disponibilité, l'intégrité et la confidentialité des données, peut concerner n'importe quel domaine, tant physique que numérique.
Pensez par exemple à la destruction d'archives papier, au vol de documents ou encore à leur falsification et altération.
Les sujets concernés par une violation de données
Une violation de données représente un événement qui, selon les caractéristiques spécifiques du cas individuel, peut impliquer différents sujets.
Le responsable du traitement est la personne qui, conformément à l'art. 33 GDPR, doit être activé sans retard injustifié et, si possible, dans les 72 heures à compter du moment où il est devenu connu, pour notifier la violation au Garant pour la protection des données personnelles, sauf dans l'hypothèse où il est peu probable que la violation des données personnelles comporte un risque pour les droits et libertés des personnes. Au contraire, si la violation présente des risques élevés pour les droits et libertés des personnes physiques, le propriétaire, toujours sans délai, doit également en informer les parties intéressées. Dans le cas où un sous-traitant a été nommé lorsqu'il a connaissance d'une violation, il est tenu d'en informer rapidement le propriétaire afin qu'il puisse prendre des mesures.
Les causes d'une violation de données
Comme mentionné, la violation de données est une violation de sécurité qui implique - accidentellement ou illégalement - la destruction, la perte, la modification, la divulgation non autorisée ou l'accès aux données traitées et cela signifie, en pratique, que les mesures de sécurité prises n'ont pas fonctionné. Cependant, nous ne devons pas tomber dans l'erreur d'associer automatiquement la violation de données à l'adéquation des mesures adoptées pour en faire dériver sic et simplicter une responsabilité (objective) du responsable du traitement. La question est beaucoup plus complexe, étant donné que le RGPD ne prévoit pas une telle responsabilité de la part du propriétaire, mais prévoit la possibilité pour celui-ci de démontrer qu'il a fait tout ce qui était en son pouvoir pour protéger les données traitées .
Le facteur humain et l'importance de la formation
Si d'une part l'événement de violation de données ne peut être totalement éliminé, car, comme prévu, le risque zéro n'existe pas, d'autre part il faut s'interroger sur les stratégies et mesures à adopter pour limiter au maximum le risque possible.
Au-delà des mesures techniques et organisationnelles « adéquates », donc dans la terminologie du Règlement européen, une part importante de la prévention est représentée par la formation du personnel.
A ce jour, le facteur humain représente encore un talon d'Achille assez répandu dans de nombreuses réalités, même structurées et grandes.
Le manque de formation adéquate et spécifique, l'absence de politiques adéquates sur l'utilisation des outils et procédures informatiques, sont encore aujourd'hui des causes assez répandues de violations de données.
Le nœud du problème est représenté non seulement par le type de protection adopté, mais aussi par les modalités d'application de celui-ci, par la mise à jour et la formation spécifique donnée aux sujets qui traitent les données.
En effet, il ne faut pas oublier que la conformité doit se faire à plusieurs niveaux, doit être transversale et ne concerne pas seulement le côté technique et la cybersécurité, mais aussi l'aspect organisationnel et procédural en ce qui concerne le facteur dit humain.