La fuite de données personnelles est un enjeu majeur de la cybersécurité et plus largement, de la protection des données personnelles en vertu du Règlement Général sur la Protection des Données (RGPD). C’est un sujet primordial dans la mesure où de milliards de données font l’objet d’une fuite ou d’une violation chaque année. Or, si des mesures ne sont pas prises à temps, une fuite de données à caractère personnel peut causer de graves préjudices physiques, matériels ou moraux aux personnes physiques : usurpation d’identité, limitation de leurs droits, une perte financière, discrimination, ou tout autre dommage économique ou social.
La CNIL a enregistré une augmentation de +75% de notifications de violation de données à caractère personnel entre 2020 et 2021. Et plus d’un tiers des sanctions prononcées par la CNIL en 2022 ont concerné un manquement à la sécurité des données personnelles.
Qu’une fuite de données soit accidentelle ou intentionnelle, elle ne doit jamais être prise à la légère. Une procédure a été mise en place par la CNIL pour signaler toute fuite de données et informer, si nécessaire, les personnes concernées.
Pour se prémunir de tout risque de fuite de données personnelles et savoir comment réagir le cas échéant, nous aborderons dans cet article les éléments suivants :
- En quoi consiste une fuite de données personnelles ;
- Comment réagir à une fuite de données ;
- Les bonnes pratiques pour se prémunir contre le risque de violation de données.
1- Qu’est-ce qu’une fuite de données personnelles ?
La fuite de données est l’un des incidents de cybersécurité les plus courants. Or, lorsqu’une telle fuite concerne des données à caractère personnel, celle-ci est encadrée par la législation sur la protection des données, et notamment le RGPD.
Fuite de données personnelles : définition
Le RGPD emploie plus largement le terme de “violation des données à caractère personnel”. Ce terme désigne la violation de leur sécurité entraînant, de manière intentionnelle ou non, conduisant à l’accès non autorisé, à la divulgation, à la destruction, à la perte, ou encore à l'altération d’informations personnelles (article 4 RGPD). Il s’agit d’un incident de sécurité qui peut aussi bien provenir d’une malveillance externe (par exemple un piratage conduisant au transfert des données) ou d’un accident interne (par exemple, incident informatique conduisant à la suppression des données personnelles).
La fuite de données personnelles peut avoir pour conséquence la violation de :
- l’intégrité des données : modification non permise ou accidentelle,
- la confidentialité des données : divulgation ou accès non autorisé ou accidentel;
- la disponibilité des données : perte d’accès, corruption ou destruction accidentelle ou non autorisée.
L’origine de la fuite peut être :
- Accidentelle ou malveillante,
- Interne ou externe à l’organisme stockant ces données.
📢 Rappel : Les données à caractère personnel sont toutes les données relatives à une personne physique identifiée ou identifiable.
Même accidentelle, une fuite de données personnelles peut avoir des conséquences très graves, particulièrement si elles sont récupérées par des cybercriminels. Les personnes concernées peuvent faire l’objet d’attaques de nature diverses : hameçonnage, piratage des comptes en ligne, tentatives d’escroquerie ou d’extorsion, harcèlement, usurpation d'identité etc.
Deux types de fuite des données
Les termes de fuite ou de violation de données sont tout deux employés. Toutefois, nous pouvons distinguer deux formes de fuite de données à travers deux terminologies distinctes :
Data Breach
Dans ce cas, la fuite de données résulte d’une action intentionnelle et malveillante. Ce peut être, par exemple, le fait d’une cyberattaque par un pirate informatique ou d’un acte de malveillance interne de la part d’un salarié.
🔎 Exemple de Data Breach :
- Un pirate informatique s’introduit dans une base de données afin de dérober des données personnelles ;
- Un salarié licencié supprime avant son départ les données personnelles d’une clé USB alors qu’il n’a pas fait de sauvegarde.
Data Leak
Ce cas de fuite de données ne résulte pas d’une attaque ou ni d’une acte malveillant. La data leak est involontaire et accidentelle. Elle survient du fait d’une négligence, d’un comportement à risque ou d’une vulnérabilité du système d’information.
🔎 Exemples de Data Leak :
- Un salarié perd une clef USB contenant un fichier client non anonymisé de sa société;
- Un incident informatique entraîne un bug sur un site web et affiche des informations personnelles sur le compte d’autres clients ;
- Une mauvaise gestion des paramètres de confidentialité sur un logiciel permet à des personnes non habilitées d'accéder à des données non autorisées.
Exemples de fuites de données personnelles
Voici deux exemples de fuite de données ne résultant pas d’un acte de piratage :
🔎 Exemple de l’URSSAF
Les informations de 10 000 travailleurs indépendants ont été affichées sur le compte en ligne d’autres travailleurs indépendants suite à un incident informatique. Leurs informations personnelles ont pu être consultées par des tiers : revenus de l’année précédente, échéancier de cotisations sociales, coordonnées bancaires, identifiants d’accès à leur compte etc. L’alerte a été donnée par un cotisant.
🔎 Exemple de la Société Dedalus
Cette société édite un logiciel destiné aux laboratoires. Une fuite d’information a entraîné la parution sur un forum des données sensibles de 500 000 patients : coordonnées, identités, données de santé confidentielles (maladies, traitements ou données génétiques). De nombreux manquements au RGPD ont été relevés par la CNIL : données confidentielles non anonymisées, pas d’authentification pour se connecter au logiciel etc. La société a écopé d’une amende de 1,5 million d’euros.
2 - Les étapes pour réagir à une fuite de données personnelles
Vous pensez être victime d’une fuite de données personnelles ? Voici les 4 étapes à suivre en cas de suspicion de violation des données personnelles.
Etape n°1 : Détecter les fuites de données
Avant de pouvoir y réagir, vous devez avant tout détecter la fuite de données. Comment ? Les responsables de traitement sont tenus d’effectuer une veille internet régulière afin de vérifier si des données ont fuité.
Vous pouvez mettre en œuvre une opération RIFI, Recherche sur Internet de Fuites d’Informations, afin de détecter une fuite de données, que celle-ci soit accidentelle comme intentionnelle. La RIFI implique l’automatisation de la recherche de potentielles fuites à l’aide de mots-clés.
⚠️ Ces manœuvres impliquent d’analyser un grand volume de données, et dans le lot, des données personnelles. C’est pourquoi cette opération doit être réalisée en conformité avec le RGPD.
Etape n°2 : Analyser les risques de la fuite des données
En cas de fuite avérée de données personnelles, le responsable de traitement doit analyser les risques pesant sur les droits et libertés des personnes concernées. Si la violation de données est identifiée par le sous-traitant, celui-ci doit informer le responsable de données de son client qui mènera l’analyse.
Dans le même temps, toutes les mesures techniques et organisationnelles (article 32 RGPD) doivent être mises en place le plus rapidement possible afin de faire cesser la violation des données personnelles.
Etape n°3 : Notifier la fuite des données à l’autorité de contrôle
L’article 33 du RGPD impose au responsable de traitement de notifier la CNIL en cas de violation des données s’il existe un risque pesant sur les droits et libertés des personnes physiques.
Ainsi, si au terme de l’analyse de l’incident, il s’avère que les conséquences de la fuite de données peuvent entraîner de graves effets pour les personnes, le responsable de traitement notifie obligatoirement la CNIL.
La notification doit intervenir dans les 72h au plus tard suivant la connaissance de la fuite de données.
⚠️ Une notification qui serait transmise à l’autorité de contrôle au-delà des 72h doit mentionner les raisons de ce retard.
La notification de violation de données à la CNIL doit mentionner :
- Le nom et les coordonnées du délégué à la protection des données (DPO) ou du responsable de traitement;
- Les mesures prises pour mettre fin à la violation de données et celles envisagées pour que cet incident ne se répète pas ;
- La liste des conséquences de la fuite de données sur les personnes physiques concernées;
- La preuve de la date à laquelle la fuite de données a été connue (pour juger du respect des 72h de délai);
- Les raisons du retard en cas de transmission de la notification au-delà des 72 heures.
⚠️ Toute fuite de données n’entraîne pas nécessairement de sanction. Cependant une notification tardive sans motif légitime peut peser dans la décision de la CNIL de prononcer une sanction.
Etape n°4 : Notification aux personnes concernées
L’article 34 RGPD impose au responsable de traitement d’informer les personnes concernées par la fuite de données personnelles lorsque elle “est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne”. Mais une fuite de données personnelles n’impose pas automatiquement d’informer les personnes concernées. Il n’est pas nécessaire d’informer les personnes concernées si :
- La fuite des données n’entraîne pas d’effet sur les personnes physiques ;
- Toutes les mesures nécessaires ont été prises pour que les données personnelles ayant fuité ne puissent pas être utilisées.
En bref, s'il n’existe pas de risque pesant sur les droits et libertés des personnes ou si ces risques ont disparu, il n’est pas nécessaire de notifier la violation des données aux personnes.
Dans le cas contraire, si une menace pèse sur les droits et les libertés des personnes concernées, le RGPD impose de le leur notifier dans les plus brefs délais.
La notification mentionne les mêmes informations que celle de la CNIL mais en des termes simplifiés.
La notification de la violation des données doit être faite :
- directement auprès de la personne concernée;
- ou via une communication publique (un communiqué par exemple), si ce n’est pas possible,
- et doit être effectué dans des termes clairs et simples.
💡 Pour savoir si les personnes concernées doivent être informées, vous pouvez demander son avis à la CNIL.
3 - Fuite des données personnelles : origine et prévention
A l’origine des fuites de données personnelles, on retrouve des failles de sécurité bien sûr. Mais le facteur humain reste la première cause.
Les failles du système d'information
Les failles du système d’exploitation ou d’un élément du réseau sont souvent à l'origine des fuites accidentelles ou des intrusions. Ces brèches sont une aubaine pour les pirates informatiques qui peuvent infiltrer les réseaux d’une entreprise. Certains bugs informatiques entraînent également des fuites en rendant des données personnelles accessibles au public et/ou à des personnes non autorisées.
Pour limiter ces risques, certaines précautions doivent être prises. Une veille constante doit être réalisée pour identifier les vulnérabilités du système et installer des correctifs sur les plus exposés.
De plus, les accès aux bases de données ou logiciels ne sont pas toujours bien protégés. Or, une faiblesse de configuration peut provoquer des fuites massives de données. La configuration des systèmes nécessite la mise en place de toutes les mesures de sécurité nécessaires (mot de passe sécurisé, périmètre de confidentialité etc).
La malveillance ou la négligence des salariés
Sur les 5000 notifications à la CNIL, 925 fuites proviendraient d’actes internes dont 200 d’actes malveillants. La violation de données en entreprise n’est pas toujours le fait de menaces extérieures. Les salariés sont à l‘origine de nombreuses fuites de données personnelles, le plus souvent du fait de négligences. Les actes de malveillance commis par des salariés sont plus difficiles à identifier.
Pour limiter les risques de fuites de données en interne : soyez particulièrement vigilants sur la gestion des accès aux données. Les périmètres de confidentialité doivent être strictement définis, notamment pour les accès temporaires aux systèmes hébergeant des données personnelles et, à fortiori, sensibles.
Il est essentiel également de sensibiliser les salariés afin de limiter les négligences pouvant entraîner des fuites de données, notamment lorsqu’ils sont en télétravail. L’article 39 du RGPD impose d’ailleurs aux organismes de sensibiliser les salariés participant aux opérations de traitements. Informez-les sur les risques et sur la façon de les réduire :
- Repérer les mails de hameçonnage;
- Ne pas utiliser de réseaux Wifi publics ouverts;
- Repérer les faux sites web ;
- Se protéger contre les attaques de rançongiciel ;
- Sécuriser la gestion des mots de passe ;
- Sécuriser l’accès aux données personnelles.
⚠️ Vérifiez également la sécurité des tiers : sous-traitant, clients, fournisseurs etc. Des fuites de données “par rebond” ont été constatées, c’est-à-dire que ce sont les failles de sécurité d’un tiers qui ont été exploitées pour s’attaquer à une entreprise.
👉 Besoin d’aide pour identifier les risques de fuite de données et les limiter ? Pour vous aider au quotidien, Leto propose :
- un module de gestion des risques vous permettant de mesurer les risques et leur impact pour les individus,
- un module de sensibilisation aux équipes en matière de protection des données personnelles.
Le logiciel RGPD Leto simplifie le suivi des risques et des incidents de violation des données personnelles.