RGPD : Comment réagir en cas de perte ou vol d’un appareil ?

Le vol d’un ordinateur, d’une clé USB ou même d’un dossier peut constituer un cas grave de violation de données personnelles. Que faire en cas de perte ou de vol d’un appareil pour respecter vos obligations liées au RGPD. Retrouvez ci-dessous les directives officielles du Comité européen de la protection des données.

Le texte ci-dessous constitue la traduction en français des lignes directrices publiées par le Comité européen de la protection des données (CEPD) en cas de violation de données personnelles.

1. CAS n° 01: Matériel volé stockant des données personnelles cryptées

Lors d’un cambriolage dans une garderie pour enfants, deux tablettes ont été volées. Les tablettes contenaient une application qui contenait des données personnelles sur les enfants fréquentant la garderie. Nom, date de naissance, données personnelles sur l’éducation des enfants étaient concernés. Les tablettes cryptées, qui étaient éteintes au moment du cambriolage, et l’application étaient toutes deux protégées par un mot de passe fort. Les données de sauvegarde étaient effectivement et facilement accessibles au responsable du traitement. Après avoir été informée de l’effraction, lagarderie a ordonné à distance l’effacement des tablettes peu après la découverte de l’effraction.

A. Mesures préalables et évaluation des risques

Dans ce cas particulier, le responsable du traitement a pris des mesures adéquates pour prévenir et atténuer les effets d’une éventuelle violation des données en utilisant le cryptage des appareils, en introduisant une protection par mot de passe adéquate et en assurant la sauvegarde des données stockées sur les tablettes. (Une liste de mesures recommandées figure à la section 5.7).

Après avoir pris connaissance d’une violation, le responsable du traitement des données doit évaluer la source du risque, les systèmes soutenant le traitement des données, le type de données à caractère personnel concernées et les impacts potentiels de la violation des données sur les personnes concernées. La violation des données décrite ci-dessus aurait pu porter atteinte à la confidentialité, à la disponibilité et à l’intégrité des données concernées, mais grâce aux mesures appropriées prises par le responsable du traitement avant et après la violation des données, aucun de ces problèmes ne s’est produit.

B. Atténuation et obligations

La confidentialité des données personnelles sur les appareils n’a pas été compromise en raison de la forte protection par mot de passe des tablettes et des applications. Les tablettes étaient configurées de manière à ce que la définition d’un mot de passe entraîne également le cryptage des données sur l’appareil. Cette protection a été renforcée par l’action du responsable de traitement qui a tenté d’effacer à distance toutes les données des appareils volés.

Grâce aux mesures prises, la confidentialité des données a également été préservée. En outre, la sauvegarde a permis de garantir la disponibilité continue des données à caractère personnel, de sorte qu’aucun impact négatif potentiel n’aurait pu se produire.

En raison de ces faits, la violation de données décrite ci-dessus n’était pas susceptible d’entraîner un risque pour les droits et libertés des personnes concernées, de sorte qu’aucune notification à l’AC ou aux personnes concernées n’était nécessaire. Toutefois, cette violation de données doit également être documentée conformément à l’article 33 (5).

2. CAS n° 02: Matériel volé stockant des données personnelles non cryptées

L’ordinateur portable électronique d’un employé d’une société prestataire de services a été volé. L’ordinateur portable volé contenait les noms, prénoms, sexes, adresses et dates de naissance de plus de 100000 clients. En raison de l’indisponibilité de l’appareil volé, il n’a pas été possible d’identifier si d’autres catégories de données personnelles ont également été affectées. L’accès au disque dur de l’ordinateur portable n’était protégé par aucun mot de passe. Les données personnelles ont pu être restaurées à partir des sauvegardes quotidiennes disponibles.

A. Mesures préalables et évaluation des risques

Aucune mesure de sécurité préalable n’a été prise par le responsable du traitement des données, de sorte que les données à caractère personnel stockées sur l’ordinateur portable volé étaient facilement accessibles pour le voleur ou toute autre personne entrant en possession de l’appareil par la suite.

Cette violation de données concerne la confidentialité des données stockées sur l’appareil volé.

L’ordinateur portable contenant les données personnelles était vulnérable en l’espèce car il ne possédait aucune protection par mot de passe ou cryptage. L’absence de mesures de sécurité de base accroît le niveau de risque pour les personnes concernées. En outre, l’identification des personnes concernées est également problématique, ce qui accroît également la gravité de la violation. Le nombre considérable de personnes concernées accroît le risque, néanmoins, aucune catégorie spéciale de données à caractère personnel n’était concernée par la violation des données.

Lors de l’évaluation[1] des risques, le responsable du traitement doit prendre en considération les conséquences potentielles et les effets négatifs de la violation de la confidentialité. À la suite de la violation, les personnes concernées peuvent être victimes d’une usurpation d’identité sur la base des données disponibles sur l’appareil volé ; le risque est donc considéré comme élevé.

[1] Pour des orientations sur les opérations de traitement « susceptibles d’entraîner un risque élevé« , voir la note de bas de page 1 ci-dessus.

B. Atténuation et obligations

L’activation du cryptage des appareils et l’utilisation d’un mot de passe fort pour protéger la base de données stockée auraient pu empêcher la violation des données d’entraîner un risque pour les droits et libertés des personnes concernées.

En raison de ces circonstances, la notification de l’AC est requise, la notification des personnes concernées est également nécessaire.

3. CAS n° 03: Vol de dossiers papier contenant des données sensibles

Un registre papier a été volé dans un centre de désintoxication pour toxicomanes. Le carnet contenait des données de base sur l’identité et la santé des patients admis dans le centre de désintoxication. Les données étaient uniquement stockées sur papier et aucune sauvegarde n’était disponible pour les médecins traitant les patients. Le livre n’était pas stocké dans un tiroir ou une pièce fermée à clé, le responsable du traitement des données n’avait ni régime de contrôle d’accès ni aucune autre mesure de sauvegarde pour la documentation papier.

A. Mesures préalables et évaluation des risques

Aucune mesure de sécurité préalable n’a été prise par le responsable du traitement des données, de sorte que les données à caractère personnel stockées dans ce livre étaient facilement accessibles à la personne qui les trouvait. En outre, la nature des données personnelles stockées dans le livre fait de l’absence de données de sauvegarde un facteur de risque très grave.

Ce cas sert d’exemple pour une violation de données à haut risque. En raison de l’absence de mesures de sécurité appropriées, des données de santé sensibles au sens de l’article 9(1) du RGPD ont été perdues. Étant donné que, dans ce cas, une catégorie spéciale de données à caractère personnel était concernée, les risques potentiels pour les personnes concernées étaient élevés, ce qui devrait également être pris en considération par le responsable du traitement qui évalue le risque[1].

Cette violation concerne la confidentialité, la disponibilité et l’intégrité des données personnelles concernées. En raison de cette violation, le secret médical est rompu et des tiers non autorisés peuvent avoir accès aux informations médicales privées des patients, ce qui peut avoir de graves répercussions sur la vie personnelle du patient. La violation de la disponibilité peut également perturber la continuité du traitement des patients. La modification/suppression de certaines parties du contenu du livre n’étant pas exclue, l’intégrité des données personnelles est également compromise.

[1] Pour des orientations sur les opérations de traitement « susceptibles d’entraîner un risque élevé« , voir la note de bas de page 1 ci-dessus.

B. Atténuation et obligations

Lors de l’évaluation des mesures de sauvegarde, il convient également de prendre en compte le type de support. Le registre des patients étant un document physique, sa sauvegarde aurait dû être organisée différemment de celle d’un dispositif électronique. La pseudonymisation des noms des patients, le stockage du livre dans des locaux protégés et dans un tiroir ou une pièce verrouillés, ainsi qu’un contrôle d’accès approprié avec authentification lors de l’accès au livre auraient pu empêcher la violation des données.

La violation des données décrite ci-dessus peut avoir de graves conséquences pour les personnes concernées ; la notification de l’AC et la communication de la violation aux personnes concernées sont donc obligatoires.

4. Mesures organisationnelles et techniques pour prévenir / atténuer les impacts de la perte ou du vol de dispositifs.

Une combinaison des mesures mentionnées ci-dessous – appliquées en fonction des caractéristiques uniques de l’affaire – devrait contribuer à réduire le risque qu’une violation similaire se reproduise.

Mesures conseillées :

(La liste des mesures suivantes n’est en aucun cas exclusive ou exhaustive. L’objectif est plutôt de fournir des idées de prévention et des solutions possibles. Chaque activité de traitement étant différente, c’est au responsable du traitement qu’il appartient de décider des mesures les plus adaptées à la situation donnée. )

  • Activer le cryptage de l’appareil (tel que Bitlocker, Veracrypt ou DM-Crypt).
  • Utiliser un code d’accès/mot de passe sur tous les appareils. Crypter tous les appareils électroniques mobiles d’une manière qui nécessite la saisie d’un mot de passe complexe pour le décryptage.
  • Utiliser l’authentification multifactorielle.
  • Activer les fonctionnalités des appareils très mobiles qui permettent de les localiser en cas de perte ou d’égarement.
  • Utiliser le logiciel/application MDM (Mobile DevicesManagement) et la localisation. Utiliser des filtres anti-reflets. Fermer tous les appareils non surveillés.
  • Si cela est possible et adapté au traitement des données en question, sauvegarder les données personnelles non pas sur un appareil mobile, mais sur un serveur dorsal
  • Si le poste de travail est connecté au réseau local de l’entreprise, effectuer une sauvegarde automatique à partir des dossiers de travail s’il est inévitable que des données personnelles y soient stockées.
  • Utiliser un VPN sécurisé (par exemple, qui nécessite une clé d’authentification à deux facteurs distincte pour l’établissement d’une connexion sécurisée) pour connecter les appareils mobiles aux serveursdorsaux.
  • Fournir des verrous physiques aux employés afin de leur permettre de sécuriser physiquement les appareils mobiles qu’ils utilisent lorsqu’ils restent sans surveillance.
  • Une réglementation appropriée de l’utilisation des appareils en dehors de l’entreprise.
  • Une réglementation appropriée de l’utilisation des appareils au sein de l’entreprise.
  • Utiliser le logiciel/application MDM (Mobile DevicesManagement) et activez la fonction d’effacement à distance.
  • Utiliser une gestion centralisée des appareils avec un minimum de droits d’installation de logiciels pour les utilisateurs finaux.
  • Installer des contrôles d’accès physiques.
  • Éviter de stocker des informations sensibles sur des appareils mobiles ou des disques durs. S’il est nécessaire d’accéder au système interne de l’entreprise, des canaux sécurisés doivent être utilisés, comme indiqué précédemment.

 

Vous pouvez demander un devis gratuit pour connaître le montant de nos prestations.

 

Deshoulières Avocats vous accompagne dans toutes les procédures liées aux violations de données personnelles.

DEMANDER UN DEVIS GRATUIT