BLOG DU CABINET HAAS AVOCATS

  • Il n'y a aucune suggestion car le champ de recherche est vide

Recherche de fuites d’informations sur Internet : le mode d’emploi de la CNIL

févr. 28 2022
Recherche de fuites d’informations sur Internet : le mode d’emploi de la CNIL
⏱ Lecture 3 min

Par Anne Charlotte Andrieux et Margaux Laurent 

D’après un récent baromètre du ransomware réalisé par l’entreprise Anozr Way, dans 100 % des cas étudiés, des informations confidentielles des entreprises ont été volées et diffusées. Dans une large proportion des cas, des données à caractère personnel seraient concernées.

Face à la multiplication des attaques cyber et à la revente de données, nombreuses sont les entreprises victimes qui ont entrepris des investigations sur le web et/ou le Darkweb. Ces investigations sont également appelées RIFI pour « recherche sur internet de fuites d’informations ». Cette recherche peut prendre la forme d’une veille active ou d’une correction d’une fuite avérée de données et consiste en une analyse des sources disponibles sur internet, de manière automatisée, afin de vérifier si des informations préalablement identifiées par le biais de mots-clés, ont pu être rendues publiques.

L’opération se décompose habituellement en 4 étapes :

  • Le choix des mots-clés permettant d’affiner la recherche et se limiter aux données pertinentes.
  • La recherche effective de données correspondant aux mots-clés.
  • La remontée et le traitement des alertes par le prestataire.
  • La communication d’alertes au client concerné.

Cet engouement donne l’occasion à la CNIL de rappeler que les prestataires RIFI et les entreprises clientes doivent respecter certaines dispositions de la règlementation informatique et libertés et du code pénal, relatives aux atteintes aux systèmes de traitement automatisé de données (STAD).

RIFI : quelles sont les règles à observer ?

A titre liminaire, la CNIL rappelle que lorsque qu’une entreprise a recours à un prestataire spécialisé pour entreprendre une RIFI, elle agit en qualité de responsable de traitement au sens du RGPD. Dans la mesure où la RIFI nécessite a minima la communication d’un échantillon de données à caractère personnel au prestataire en charge de confirmer leur divulgation, cette relation doit être encadrée par un accord sur le traitement des données (Data processing agreement – DPA) conformément aux dispositions de l’article 28 du RGPD.

La CNIL énonce 6 conditions principales :

  • Justifier d’un intérêt légitime

La CNIL précise à toutes fins utiles que la RIFI peut reposer sur la base légale de l’intérêt légitime au sens de l’article 6 du RGPD. Rappelons que la base légale de l’intérêt légitime du responsable de traitement implique de réaliser et de documenter une mise en balance des intérêts.

  • Démontrer que la RIFI est nécessaire pour atteindre l’objectif visé.

L’entreprise devra établir qu’il n’existe pas d’autres moyens plus efficaces de repérer certaines fuites de données à caractère personnel. Ce critère devra être apprécié et documenté au sein de la mise en balance des intérêts.

  • Assurer un juste équilibre entre l’intérêt de l’organisme et les droits des personnes.

En effet, l’objectif de sécurité visé par le responsable de traitement doit être suffisamment étayé pour ne pas créer de déséquilibre au détriment des droits et intérêts des personnes concernées.

Si la base légale du traitement est l’intérêt légitime du responsable de traitement, ce dernier doit pouvoir démontrer que les personnes concernées peuvent s’attendre à ce que leurs données personnelles soient utilisées pour répondre à l’objectif poursuivi.

  • Définir une durée de conservation des données limitée.

Cette durée doit être déterminée en fonction de l’objectif de l’opération.

Pour ce qui est des résultats issus de la recherche, si la RIFI permet de retrouver les données qui ont initialement fuité, celles-ci pourront être conservées le temps nécessaire aux poursuites judiciaires et, le cas échéant, à l’analyse de l’origine de la violation.

  • Ne pas collecter des données non pertinentes.

Le responsable de traitement doit mettre en œuvre toutes les mesures permettant de limiter la collecte de catégories particulières de données personnelles (des données de santé par exemple), notamment dans les mots-clés utilisés pour la RIFI ou dans les sites ciblés par la RIFI.

Si malgré les mesures prises, des données sensibles non recherchées sont traitées, l’organisme devra les supprimer immédiatement.

  • Respecter les droits des personnes.

Si la RIFI révèle l’existence d’une violation de données au sein du système d’information de l’entreprise et que celle-ci est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable de traitement devra communiquer à chaque personne concernée les informations concernant cette violation afin qu’elle puisse prendre les mesures appropriées.

***

Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Contactez nous ici.  
Anne-Charlotte Andrieux

Auteur Anne-Charlotte Andrieux

Suivez-nous sur Linkedin

 

Tous droits réservés. Copyright 1998-2024.

YouTube   LinkedIn

Politique de gestion des cookies - Mentions légales - Politique de confidentialité