Par Anne Charlotte Andrieux et Margaux Laurent
D’après un récent baromètre du ransomware réalisé par l’entreprise Anozr Way, dans 100 % des cas étudiés, des informations confidentielles des entreprises ont été volées et diffusées. Dans une large proportion des cas, des données à caractère personnel seraient concernées.
Face à la multiplication des attaques cyber et à la revente de données, nombreuses sont les entreprises victimes qui ont entrepris des investigations sur le web et/ou le Darkweb. Ces investigations sont également appelées RIFI pour « recherche sur internet de fuites d’informations ». Cette recherche peut prendre la forme d’une veille active ou d’une correction d’une fuite avérée de données et consiste en une analyse des sources disponibles sur internet, de manière automatisée, afin de vérifier si des informations préalablement identifiées par le biais de mots-clés, ont pu être rendues publiques.
L’opération se décompose habituellement en 4 étapes :
Cet engouement donne l’occasion à la CNIL de rappeler que les prestataires RIFI et les entreprises clientes doivent respecter certaines dispositions de la règlementation informatique et libertés et du code pénal, relatives aux atteintes aux systèmes de traitement automatisé de données (STAD).
A titre liminaire, la CNIL rappelle que lorsque qu’une entreprise a recours à un prestataire spécialisé pour entreprendre une RIFI, elle agit en qualité de responsable de traitement au sens du RGPD. Dans la mesure où la RIFI nécessite a minima la communication d’un échantillon de données à caractère personnel au prestataire en charge de confirmer leur divulgation, cette relation doit être encadrée par un accord sur le traitement des données (Data processing agreement – DPA) conformément aux dispositions de l’article 28 du RGPD.
La CNIL énonce 6 conditions principales :
La CNIL précise à toutes fins utiles que la RIFI peut reposer sur la base légale de l’intérêt légitime au sens de l’article 6 du RGPD. Rappelons que la base légale de l’intérêt légitime du responsable de traitement implique de réaliser et de documenter une mise en balance des intérêts.
L’entreprise devra établir qu’il n’existe pas d’autres moyens plus efficaces de repérer certaines fuites de données à caractère personnel. Ce critère devra être apprécié et documenté au sein de la mise en balance des intérêts.
En effet, l’objectif de sécurité visé par le responsable de traitement doit être suffisamment étayé pour ne pas créer de déséquilibre au détriment des droits et intérêts des personnes concernées.
Si la base légale du traitement est l’intérêt légitime du responsable de traitement, ce dernier doit pouvoir démontrer que les personnes concernées peuvent s’attendre à ce que leurs données personnelles soient utilisées pour répondre à l’objectif poursuivi.
Cette durée doit être déterminée en fonction de l’objectif de l’opération.
Pour ce qui est des résultats issus de la recherche, si la RIFI permet de retrouver les données qui ont initialement fuité, celles-ci pourront être conservées le temps nécessaire aux poursuites judiciaires et, le cas échéant, à l’analyse de l’origine de la violation.
Le responsable de traitement doit mettre en œuvre toutes les mesures permettant de limiter la collecte de catégories particulières de données personnelles (des données de santé par exemple), notamment dans les mots-clés utilisés pour la RIFI ou dans les sites ciblés par la RIFI.
Si malgré les mesures prises, des données sensibles non recherchées sont traitées, l’organisme devra les supprimer immédiatement.
Si la RIFI révèle l’existence d’une violation de données au sein du système d’information de l’entreprise et que celle-ci est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable de traitement devra communiquer à chaque personne concernée les informations concernant cette violation afin qu’elle puisse prendre les mesures appropriées.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Contactez nous ici.