RGPD et erreur humaine : comment réparer les fuites et les accidents ?

Le rôle de l’erreur humaine dans les violations de données personnelles doit être souligné, en raison de son aspect courant. Étant donné que ces types de violations peuvent être aussi bien intentionnelles que non intentionnelles, il est difficile pour les responsables d’identifier les vulnérabilités et d’adopter des mesures pour les éviter. Retrouvez ci-après les directives officielles en cas de violation de données personnelles liées à une erreur humaine.

Le texte ci-dessous constitue la traduction en français des lignes directrices publiées par le Comité européen de la protection des données (CEPD) en cas de violation de données personnelles.

1. CAS n° 01: Exfiltration de données professionnelles par un employé

Pendant sa période de préavis, le salarié d’une entreprise copie des données commerciales de la base de données de l’entreprise. Le salarié n’est autorisé à accéder à ces données que pour remplir ses tâches professionnelles. Quelques mois plus tard, après avoir quitté son emploi, il utilise les données ainsi obtenues (données de contact de base) pour alimenter un nouveau traitement de données dont il est le responsable afin de contacter les clients de l’entreprise pour les attirer dans sa nouvelle activité.

A. Mesures préalables et évaluation des risques

Dans ce cas particulier, aucune mesure préalable n’a été prise pour empêcher l’employé de copier les coordonnées de la clientèle de l’entreprise, puisqu’il nécessitait – et avait – un accès légitime à ces informations pour ses tâches professionnelles. Étant donné que la plupart des emplois dans le domaine des relations avec la clientèle exigent que l’employé accède d’une manière ou d’une autre à des données à caractère personnel, ces violations de données peuvent être les plus difficiles à prévenir. La limitation de la portée de l’accès peut restreindre le travail que l’employé concerné est en mesure d’accomplir. Toutefois, des politiques d’accès bien conçues et un contrôle constant peuvent contribuer à prévenir de telles violations.

Comme d’habitude, lors de l’évaluation des risques, il convient de prendre en considération le type de violation ainsi que la nature, la sensibilité et le volume des données à caractère personnel concernées. Ces types de violations sont généralement des violations de la confidentialité, puisque la base de données est généralement laissée intacte, son contenu étant « simplement » copié pour une utilisation ultérieure. La quantité de données concernées est généralement faible ou moyenne. Dans ce cas particulier, aucune catégorie spéciale de données à caractère personnel n’a été affectée, l’employé avait seulement besoin des coordonnées de clients pour pouvoir les contacter après avoir quitté l’entreprise. Par conséquent, les données concernées ne sont pas sensibles.

Bien que le seul objectif de l’ex-employé qui a malicieusement copié les données puisse se limiter à obtenir les coordonnées de la clientèle de l’entreprise à des fins commerciales, le responsable du traitement n’est pas en mesure de considérer que le risque pour les personnes concernées est faible, car il n’a aucune garantie quant aux intentions de l’employé. Ainsi, alors que les conséquences de la violation pourraient se limiter à l’exposition de l’ex-employé à des pratiques d’auto-marketing injustifiées, un abus plus grave des données volées n’est pas exclu, en fonction de la finalité du traitement mis en place par l’ex-employé[1].

[1] Pour des orientations sur les opérations de traitement « susceptibles d’entraîner un risque élevé« , voir la note de bas de page 1 ci-dessus.

B. Atténuation et obligations

L’atténuation des effets négatifs de la violation dans le cas ci-dessus est difficile. Il peut être nécessaire d’engager une action en justice immédiate pour empêcher l’ancien employé d’abuser des données et de les diffuser plus avant. Dans un deuxième temps, l’objectif devrait être d’éviter que des situations similaires ne se reproduisent. Le responsable du traitement peut essayer d’ordonner à l’ex-employé de cesser d’utiliser les données, mais le succès de cette action est au mieux douteux. Des mesures techniques appropriées, telles que l’impossibilité de copier ou de télécharger des données sur des dispositifs amovibles, peuvent être utiles.

Il n’existe pas de solution unique pour ce genre de cas, mais une approche systématique peut contribuer à lesprévenir. Par exemple, l’entreprise peut envisager – lorsque c’est possible – de retirer certaines formes d’accès aux employés qui ont signalé leur intention de démissionner ou de mettre en place des registres d’accès afin que les accès indésirables puissent être enregistrés et signalés. Le contrat signé avec les employés doit comporter des clauses interdisant de telles actions.

Dans l’ensemble, comme la violation en question n’entraînera pas un risque élevé pour les droits et libertés des personnes physiques, une notification à l’AC suffira. Toutefois, l’information des personnes concernées peut être bénéfique pour le responsable du traitement des données également, car il peut être préférable qu’elles entendent parler de la fuite de données par l’entreprise plutôt que par l’ex-employé qui tente de les La documentation relative aux violations de données conformément à l’article 33(5) est une obligation légale.

2. CAS n° 02: Transmission accidentelle de données à un tiers de confiance

Un agent d’assurance a constaté que – grâce au paramétrage défectueux d’un fichier Excel reçu par e-mail – il a pu accéder à des informations relatives à une vingtaine de clients n’appartenant pas à son périmètre. Il est tenu au secret professionnel et était le seul destinataire de l’e-mail. L’accord entre le responsable du traitement des données et l’agent d’assurance oblige l’agent à signaler au responsable du traitement des données une violation de données personnelles sans retard excessif. Par conséquent, l’agent a immédiatement signalé l’erreur au responsable du traitement, qui a corrigé le fichier et l’a envoyé à nouveau, en demandant à l’agent de supprimer le premier message. Conformément à l’accord susmentionné, l’agent doit confirmer la suppression dans une déclaration écrite, ce qu’il a fait. Les informations obtenues ne comprennent pas de catégories particulières de données à caractère personnel, mais uniquement des données de contact et des données relatives à l’assurance elle-même (type d’assurance, montant). Après avoir analysé les données à caractère personnel concernées par la violation, le responsable du traitement des données n’a identifié aucune caractéristique particulière de la part des personnes concernées ou du responsable du traitement des données susceptible d’affecter le niveau d’impact de la violation.

A. Mesures préalables et évaluation des risques

Dans ce cas, la violation ne découle pas d’une action intentionnelle d’un employé, mais d’une erreur humaine involontaire causée par l’inattention. Ces types de violation peuvent être évités ou leur fréquence peut être réduite a) en appliquant des programmes de formation, d’éducation et de sensibilisation permettant aux employés de mieux comprendre l’importance de la protection des données personnelles, b) en réduisant l’échange de fichiers par courrier électronique et en utilisant plutôt des systèmes dédiés au traitement des données des clients, par exemple, c) en vérifiant deux fois les fichiers avant de les envoyer, d) en séparant la création et l’envoi des fichiers.

Cette violation de données ne concerne que la confidentialité des données, dont l’intégrité et l’accessibilité restent intactes. La violation des données ne concerne que deux douzaines de clients, la quantité de données affectées peut donc être considérée comme faible. En outre, les données personnelles concernées ne contiennent pas de données sensibles. Le fait que le sous-traitant des données ait immédiatement contacté le responsable de traitement après avoir eu connaissance de la violation des données peut être considéré comme un facteur d’atténuation du risque. (La possibilité que des données aient été envoyées à d’autres agents d’assurance doit également être évaluée et, si elle est confirmée, des mesures appropriées doivent être prises). En raison des mesures appropriées prises après la violation des données, celle-ci n’aura probablement aucune incidence sur les droits et libertés des personnes concernées.

La combinaison du faible nombre de personnes touchées, la détection immédiate de la violation et les mesures prises pour en minimiser les effets font que ce cas particulier ne présente aucun risque.

B. Atténuation et obligations

En outre, d’autres circonstances atténuant le risque entrent en jeu : l’agent est tenu au secret professionnel ; il a lui-même signalé le problème au responsable du traitement ; et il a supprimé le fichier sur demande. La sensibilisation et l’inclusion éventuelle d’étapes supplémentaires dans le contrôle des documents impliquant des données à caractère personnel permettront probablement d’éviter des cas similaires à l’avenir.

Outre la documentation de la violation conformément à l’article 33(5), il n’est pas nécessaire de prendre d’autres mesures.

3. Mesures organisationnelles et techniques pour prévenir / atténuer les impacts des sources de risques humains internes.

Une combinaison des mesures mentionnées ci-dessous – appliquées en fonction des caractéristiques uniques de l’affaire devrait contribuer à réduire le risque qu’une violation similaire se reproduise.

Mesures conseillées :

(La liste des mesures suivantes n’est en aucun cas exclusive ou exhaustive. L’objectif est plutôt de fournir des idées de prévention et des solutions possibles. Chaque activité de traitement étant différente, c’est au responsable du traitement qu’il appartient de décider des mesures les plus adaptées à la situation donnée.)

  • Mise en œuvre périodique de programmes de formation, d’éducation et de sensibilisation des employés sur leurs obligations en matière de confidentialité et de sécurité, ainsi que sur la détection et le signalementdes menaces pour la sécurité des données personnelles[1].
  • Développement d’un programme de sensibilisation pour rappeler aux employés les erreurs les plus courantes menant à des violations de données personnelles et comment les éviter.
  • Mise en place de pratiques, de procédures et de systèmes[2] solides et efficaces en matière de protection des données et de la vie privée.
  • Évaluation des pratiques, procédures et systèmes de protection de la vie privée afin d’en assurer l’efficacité[3]
  • Élaborer des politiques de contrôle d’accès appropriées et obliger les utilisateurs à respecter les règles.
  • Mise en œuvre de techniques pour forcer l’authentification de l’utilisateur lors de l’accès à des données personnelles sensibles.
  • Désactivation du compte de l’utilisateur lié à l’entreprise dès que la personne quitte l’entreprise.
  • Vérification des flux de données inhabituels entre le serveur de fichiers et les postes de travail des employés.
  • Configuration de la sécurité de l’interface E/S dans le BIOS ou par l’utilisation d’un logiciel contrôlant l’utilisation des interfaces de l’ordinateur (verrouillage ou déverrouillage, par exemple USB/CD/DVD, ).
  • Examen de la politique d’accès des employés (par exemple, en consignant l’accès aux données sensibles et exigeant de l’utilisateur qu’il saisisse une raison professionnelle, de sorte qu’elle soit disponible pour les audits).
  • Désactivation des services de cloud ouverts.
  • Interdiction et empêchement de l’accès à des services de courrier ouverts connus.
  • Désactivation de la fonction d’impression d’écran dans le système d’exploitation.
  • Application d’une politique de bureau propre.
  • Verrouillage automatique de tous les ordinateurs après un certain temps d’inactivité.
  • Utilisation des mécanismes (par exemple, un jeton (sans fil) pour se connecter/ouvrir des comptes verrouillés) pour un changement rapide d’utilisateur dans les environnements partagés.
  • Utilisation de systèmes dédiés à la gestion des données personnelles qui appliquent des mécanismes de contrôle d’accès appropriés et qui empêchent les erreurs humaines, comme l’envoi de communications à la mauvaise personne. L’utilisation de feuilles de calcul et d’autres documents de bureau ne constitue pas un moyen approprié pour gérer les données des clients.

[1] Section 2) le paragraphe (i) de la résolution pour aborder le rôle de l’erreur humaine dans les violations de données personnelles.

[2] Section 2) le paragraphe (ii) de la résolution pour aborder le rôle de l’erreur humaine dans les violations de données personnelles.

[3] Section 2) paragraphe (iii) de la Résolution pour aborder le rôle de l’erreur humaine dans les violations de données personnelles.

 

Vous pouvez demander un devis gratuit pour connaître le montant de nos prestations.

 

Deshoulières Avocats vous accompagne dans toutes les procédures liées aux violations de données personnelles.

DEMANDER UN DEVIS GRATUIT