Category
🤖
TechnologieTranscription
00:00 Bonjour à toutes et à tous. Bonjour Alexis. Bonjour. Alexis est aujourd'hui le maître d'œuvre pour
00:29 ce webinaire qui va nous parler de RGPD, de protection des données, avec comme thématique
00:37 principale comment réagir en cas de violation de données et sera suivi dans sa présentation
00:43 d'une petite présentation de l'outil ProDPO. Alexis, je te laisse là-bas. Merci Sébastien.
00:53 Bonjour à toutes et à tous. Pour rapide présentation, Alexis Ghebri, je suis consultant
01:01 en protection des données au sein du cabinet de conseil Silexo qui est basé à Besançon
01:05 et qui aide les associations, les services publics et les entreprises privées à se
01:11 mettre en conformité et se tenir en conformité dans le temps. Donc j'ai fait une petite présentation,
01:16 je vais vous partager mon écran, j'ai fait une petite présentation pour ce jour. Elle est
01:22 structurée de la manière suivante, on va faire quelques rappels rapidement pour aller tout de
01:27 suite vers le sujet qui nous importe aujourd'hui qui est la violation de données, comment réagir
01:33 en cas de violation de données, qu'est-ce qu'une violation de données, quels sont les délais à
01:37 qui on doit s'adresser et la présentation de l'outil de gestion de la conformité RGPD ProDPO
01:44 sera inclus en fait dans cette thématique de violation de données parce qu'il y a un mot
01:50 en anglais sur ce sujet là et donc ce sera une mise en oeuvre, une présentation de cette
01:56 fonctionnalité pour que ce soit en lien avec notre sujet du jour. Je vais vous partager mon écran.
02:04 Est-ce que vous pouvez me faire un retour comme quoi vous voyez mon écran ?
02:13 C'est bon. Ok, parfait, merci. Un tout petit peu d'histoire juste pour présenter un petit peu
02:24 qu'est-ce que c'est que la protection des données en France, quelle est l'autorité de contrôle en
02:29 la matière, quel est l'élément déclencheur en France en réalité par rapport à ce sujet là de
02:37 la protection des données, à quel moment on a commencé à s'y intéresser. En réalité,
02:42 en France, on a une des autorités de contrôle les plus anciennes au niveau de l'Union européenne
02:48 parce que ça remonte aux années 70 où l'état français voulait mettre derrière le nir un
02:57 certain nombre d'informations sur chaque française et chaque français. Or, dans les années 70,
03:02 on avait encore en mémoire, petite question que je pose souvent, c'est à votre avis la
03:08 carte d'identité. Quand est-ce que les français et les françaises ont eu une carte d'identité,
03:14 l'obligation d'avoir cette carte d'identité sur eux quand ils se déplacent ? C'est sous le régime
03:20 de Vichy. Donc en réalité, c'est assez jeune l'idée de pouvoir tracer et demander aux personnes
03:25 leur identité. Avant ça, très peu avaient cette obligation là, il y avait simplement les gens
03:32 du voyage. On avait encore ça en tête dans les années 70. Levé de bouclier, c'est la presse
03:38 qui s'en empare, le monde en l'occurrence, et qui titre parce que le programme s'appelait Safari,
03:43 Safari ou la chasse aux français. Derrière, ça déclenche un rapport qui est demandé par le
03:50 Sénat, le rapport de Tricot en 78. On voit un peu l'image d'un ordinateur à cette même date,
03:57 cette même année. Donc on a compris très vite que l'ordinateur pouvait stocker et traiter un
04:03 grand nombre de données, et notamment des données qui identifient des gens et qui donnent des
04:06 informations sur ces personnes. Et donc, entre les mains soit d'un acteur privé, soit de l'État,
04:13 ça pouvait être dangereux. Donc c'est sur ces constats et sur ces enquêtes-là, ce rapport
04:20 que naît la première autorité de contrôle administrative, AAI, en France, et qui est donc
04:27 la CNIL, l'autorité de contrôle en matière de protection des données. Elle a quatre missions,
04:32 on se dit souvent la CNIL c'est les sanctions, donc les contrôles aussi, mais la première mission de
04:39 la CNIL c'est le conseil et l'information aux entreprises et aux particuliers. Les deux,
04:43 le site de la CNIL, je ne sais pas si vous avez eu la curiosité d'aller voir un petit peu à quoi ça
04:49 ressemblait, qu'est-ce qu'on pouvait y trouver, est très bien fait, beaucoup d'informations,
04:53 beaucoup d'aide, beaucoup de mise en pratique, d'éclairage sur la protection des données,
04:59 les données à caractère personnel, donc c'est une ressource importante et qu'il ne faut pas
05:04 hésiter à aller voir. En tant qu'entreprise qui a l'obligation de se mettre en conformité avec le
05:08 RGPD et donc qui cherche à savoir comment faire, aux professionnels de la protection des données,
05:14 bien sûr, et même aux particuliers qui souhaiteraient connaître leur droit en matière
05:19 de protection des données et savoir comment les exercer. La deuxième mission c'est donc les
05:24 contrôles, contrôles des entreprises pour protéger les personnes, ça peut déclencher une sanction
05:31 auprès des entreprises comme des administrations en réalité. Et la dernière mission c'est celle
05:37 d'anticiper l'anticipation des innovations et des grandes transformations à travers le laboratoire
05:43 de la CNIL qui s'appelle le LINC, qui fait souvent des rapports, des enquêtes sur les nouvelles
05:51 pratiques, qui essaie d'anticiper les nouveaux usages, les nouvelles pratiques pour qu'adapter
05:56 les normes et les obligations en matière de protection des données aux nouveaux usages.
06:01 On sait tous que tout ça va très très vite. Un exemple pour cette dernière mission d'anticipation,
06:08 c'est par rapport à l'intelligence artificielle. Bien sûr, la CNIL s'en soucie à avoir
06:13 l'arrivée des grands modèles qu'on connaît, mais avec l'émergence de chatJPT et de beaucoup
06:21 d'autres, a créé un service dédié à l'intelligence artificielle pour cadrer un petit peu l'entraînement
06:28 et l'utilisation de ce type d'outils. Donc voilà les missions, voilà l'autorité de contrôle,
06:35 un petit peu d'histoire pour recadrer l'arrivée du coup en Europe du règlement général sur la
06:42 protection des données. C'est un règlement, une réglementation, c'est pas la RGPD, c'est le RGPD.
06:49 Et donc c'est un texte européen qui est arrivé et qui a été dans un premier temps en application en
06:57 2016, entre en vigueur en 2016, entre en application en 2018 pour que un certain nombre de pays,
07:04 d'entreprises et de services publics puissent se mettre en conformité dans un délai de deux ans.
07:08 En réalité ça a pris et ça prend plus de temps que ça, même si encore une fois au niveau de la
07:14 France on avait une autorité de contrôle qui était déjà structurée, qui était déjà organisée,
07:19 bien connue et prête à accueillir ce règlement européen. Dans d'autres pays de l'Union européenne,
07:25 l'autorité de contrôle a été créée au moment de l'entrée en application du RGPD, c'est-à-dire
07:30 l'ECA. Donc c'est un texte qui a la réputation d'être complexe, il y a une centaine d'articles,
07:38 une centaine de pages. Complexe pourquoi ? En réalité, à mon sens, c'est qu'il ne donne pas
07:47 de clé directement pratique pour les entreprises, notamment par rapport à leurs activités. Donc
07:54 c'est un texte qui pose des principes, mais c'est un bon texte. Donc c'est un texte qui durera dans
08:00 le temps. Si on commence à parler de technologie, de pratique et d'usage, on est en train d'écrire
08:05 dans le texte sa date de péremption en réalité. Donc il faut qu'on donne des grands principes,
08:12 des droits dans ce texte pour qu'il puisse durer dans le temps. Donc c'est ce qui a été fait,
08:20 mais donc nous, les entreprises, les particuliers, quand on lit ce texte, ça peut être compliqué de
08:26 se rendre compte concrètement ce qu'on est censé faire au sein de son entreprise, au sein de son
08:30 administration. C'est pour ça que l'autorité de contrôle, c'est pour ça que Clacknill met en
08:34 œuvre un certain nombre de guides, un certain nombre de référentiels, aide les entreprises
08:39 à s'approprier ce texte en donnant des clés pour transformer ce texte assez théorique en
08:46 actions beaucoup plus concrètes à mettre en place au sein de son entreprise, de son organisation.
08:54 Ce texte donc est un texte européen. L'objectif était d'harmoniser les obligations en matière de
09:05 protection des données au niveau de l'Union Européenne et de reconnaître en réalité un
09:09 certain nombre de droits aux personnes. Donc, je le dis souvent, ce texte ne vient pas mettre des
09:19 obligations aux entreprises, c'est pas directement l'objectif du texte, n'est pas de mettre des
09:23 contraintes aux entreprises, aux organisations. C'est de reconnaître des droits aux personnes sur
09:27 leur donné caractère personnel. Et donc, en reconnaissant des droits aux personnes, par rebond,
09:33 ça crée des obligations pour les organisations. Donc on a un certain nombre de droits reconnus,
09:39 au niveau européen, national. Le droit d'accès, rectification, portabilité, opposition,
09:45 déréférencement, c'est le droit à la suppression, le droit à l'oubli, c'est un des plus connus. Le
09:53 droit d'accès est un des plus utilisés, à ce que je sache, c'est le devoir de demander à une
09:58 organisation de vous communiquer les informations qu'elle détient vous concernant et d'en avoir
10:04 une copie. La rectification, c'est pour tenir ces informations à jour. Les organisations ont
10:11 cette obligation, malgré tout, si de l'extérieur, en tant qu'utilisateur, en tant qu'administré,
10:16 on voit une erreur, on a le pouvoir de la faire corriger et c'est une obligation pour l'organisation
10:23 de faire cette rectification. La portabilité, c'est, on a essayé d'imaginer comment ne pas
10:30 prendre captif certains clients, par exemple, du banque. On a un certain nombre d'informations
10:40 dans cette banque, notre historique bancaire, d'autres informations pertinentes qu'on souhaiterait
10:45 potentiellement garder et ce qui nous freinerait à changer de banque que de perdre cette historique
10:52 et toute cette connaissance que la banque a sur nous, du fait des années. Donc, ce droit à la
10:58 portabilité, c'est notre capacité de demander à la banque 1 de transmettre à notre nouvelle banque,
11:03 banque 2, toutes les informations qu'elles maintiennent sur nous et au langage machine,
11:09 qui permet d'utiliser directement ces données du côté banque 2. Donc, voilà, ce n'est pas le
11:19 cœur de notre intervention aujourd'hui, mais le RGPD, en premier, harmonise le droit en matière
11:27 de protection des données du niveau européen et reconnaît des droits aux citoyennes et aux
11:31 citoyens européens. Trois définitions, je vais aller très vite, mais il faut les avoir en tête,
11:38 parce que si on ne les a pas en tête, on ne comprend pas forcément de quoi on est en train de parler.
11:45 Là, ce qu'on cherche à faire avec le RGPD, c'est de protéger les données à caractère personnel.
11:50 Donc, c'est toute information ou l'ensemble d'informations qui identifie de manière directe
11:54 ou indirecte une personne physique. Déjà, tout ce qui est personne morale, entreprise,
11:59 d'autres, tout ça est hors champ du RGPD. C'est bien Alexis, Gabri, la personne physique que je
12:07 suis, Alexis, tous les données qui m'identifient de manière directe ou indirecte, c'est-à-dire,
12:11 on a un ensemble de données qui est pris individuellement, ne m'identifie pas directement,
12:16 mais vu qu'on a un ensemble de données comme celle-ci, ça finit par m'identifier,
12:20 tout ce pack devient un identifiant, donc devient des données à caractère personnel.
12:25 C'est ça que le RGPD vient protéger, toutes les données qui identifient les personnes et qui
12:30 révèlent en réalité leur vie privée, les aspects personnels de leur caractère et qu'on
12:37 cherche donc à protéger. Donc, ça, c'est les données à caractère personnel, c'est le noyau
12:42 où on cherche à protéger les données à caractère personnel. Sauf que, quand on est dans une
12:46 organisation des données à caractère personnel, des données de prénom, par exemple, on va les
12:51 utiliser au moment du service RH, à la compta, ou de la prospection. Donc, si on ne se concentre
12:58 que sur la donnée à caractère personnel, pour arriver à s'organiser et savoir comment les
13:04 protéger, ça va être compliqué juste avec cette notion. Donc, il y en a une autre, c'est celle
13:08 de traitement de données à caractère personnel. C'est toute opération, un ensemble d'opérations,
13:11 effectuées ou non, à l'aide d'un procédé automatisé. En gros, le RGPD, ce n'est pas que
13:16 du numérique, c'est aussi du physique. À partir du moment où il y a des données à caractère
13:23 personnel, c'est le même que si on a des données à caractère personnel, le RGPD est appliqué,
13:29 donc je reprends la définition de traitement, est appliqué à des données, des ensembles de
13:34 données à caractère personnel. Donc, on a compris que la notion de données à caractère personnel
13:39 est une notion très large, dès qu'une donnée identifie une personne, et donc le traitement de
13:44 données à caractère personnel, ça va être au moment de la collecte, de l'enregistrement,
13:48 l'organisation, structuration, conservation, modification, extraction, consultation,
13:53 toutes ces opérations faites sur les données à caractère personnel sont des traitements de
13:57 données à caractère personnel. Et donc, les organisations doivent se concentrer sur le fait
14:02 de répertorier ces différents traitements de données à caractère personnel au sein de leur
14:07 organisation, réunir ces informations-là liées au traitement au sein de ce qu'on appelle un
14:13 registre des activités de traitement. Voilà un petit peu, on commence à comprendre données à
14:18 caractère personnel, juste au-dessus, on a des traitements de données, donc par exemple
14:23 administration du personnel, c'est un traitement de données mis en place par le service RH,
14:27 dedans, dans ce traitement administration du personnel, on aura un certain nombre de données
14:33 à caractère personnel. Tout ça, on enregistre. Troisième définition, et dernière définition,
14:40 après on passe sur la violation de données, le responsable de traitement. Donc, on a la
14:46 donnée à caractère personnel, on désouvre, on a les traitements de données à caractère personnel,
14:50 et en réalité, on a un certain nombre de traitements de données qui sont mis en oeuvre
14:54 par, dans le texte, on appelle le responsable de traitement, qui est donc une organisation,
14:59 le service, ou rarement la personne physique qui met en oeuvre ces différents traitements.
15:04 Voilà pour les définitions. Petite parenthèse sur le DPO, on parle de violation de données,
15:13 c'est souvent le DPO qui a appelé quand il doit réagir à une violation de données. Un DPO,
15:20 c'est un délégué à la protection des données. Donc, avant l'entrée en application du GRGPD,
15:27 on avait la loi informatique et liberté en France, donc on avait le CIL, le correspondant
15:32 informatique et liberté. Avec le RGPD, on est passé au DPD en français, DPO en anglais. Donc,
15:40 on a, sous certaines conditions, l'obligation de désigner ce délégué à la protection des données
15:45 au sein de son organisation. Donc, par exemple, si on est un organisme public, on a cette obligation.
15:50 Si l'organisme a des activités de base qui l'amènent à réaliser un suivi régulier et
15:56 systématique des personnes à grande échelle, ou si les activités de base les amènent à
16:00 traiter à grande échelle des données inédites, sensibles et relatives à des condamnations pénales
16:04 ou des infractions. Donc, si on rentre dans l'un de ces trois critères, on a l'obligation de désigner
16:08 un DPO. Si ce n'est pas le cas, c'est une bonne pratique de désigner un responsable, voire même
16:13 un DPO au sein de sa structure. Et donc, ce DPO doit détenir les compétences requises, disposer
16:20 de moyens suffisants et avoir la capacité d'agir en toute indépendance. Il ne doit pas être jugé
16:26 parti. Autrement dit, sur des petites organisations, il est difficile, par exemple, pour 3 ou 4 personnes,
16:32 il est difficile de construire ce rôle à une des personnes et notamment à la direction, parce
16:37 qu'elle serait jugée partie que de vouloir mettre en place un certain nombre de traitements et juger
16:41 de leur conformité par ailleurs dans leur rôle de DPO. Donc, ça a développé la capacité,
16:47 enfin les organisations ont la possibilité de désigner un DPO vers l'extérieur de leur
16:52 entreprise. Donc, ce que mon cabinet, Stylexo, fait des DPO externalisés. Cette fonction,
17:01 il y a plusieurs missions, sont informés, conseillés, accompagnés, sensibilisés,
17:06 supervisés les audits, conseillés et responsables lors des analyses d'impact, c'est une chose assez
17:13 importante. Je ne sais pas s'il y a eu des webinars, si vous avez organisé des webinars sur ce sujet,
17:17 mais ça pourrait être très intéressant. Recevoir et répondre à des questions ou des réclamations
17:22 et coopérer avec l'autorité de contrôle qui est donc la clé au niveau de la France. Donc,
17:28 bien sûr, ces missions-là englobent le fait d'aider le responsable de traitement à réagir
17:35 en cas de violation de données. Qu'est-ce que c'est qu'une violation de données ? Toutes les
17:42 organisations qui traitent des données à caractère personnel doivent mettre en place des mesures
17:46 pour prévenir les violations de données et réagir de manière appropriée en cas d'incident. C'est
17:53 une obligation posée, on doit protéger les données qu'on nous confie, donc évidemment,
17:58 lorsqu'il y a une perte de contrôle sur les données qu'on nous a confiées, on doit réagir
18:04 en circonstance. On doit avoir une meilleure défense avec l'anticipation de ce genre d'événement,
18:12 donc avoir une procédure en cas de violation de données claire et communiquée en interne
18:18 pour savoir déjà détecter une violation de données et la faire remonter aux bonnes personnes. Une
18:25 violation de la sécurité se caractérise par la destruction, la perte, l'altération, la
18:30 divulgation non autorisée de données à caractère personnel, transmise, conservée ou traitée d'une
18:36 autre manière ou l'accès non autorisé à de telles données de manière accidentelle ou illicite.
18:42 En gros, dès qu'on perd le contrôle sur une donnée, dès qu'on ne souhaitait pas la supprimer,
18:49 elle a été supprimée, on ne devait pas la divulguer, elle a été divulguée, que ce soit en interne ou
18:55 en externe, que ce soit un acte malveillant ou une personne qui se soit produite de manière
19:04 intentionnelle ou non et qui compromet l'intégrité, la confidentialité ou la disponibilité. On connaît
19:13 bien ces trois notions d'intégrité, de confidentialité et de disponibilité. C'est une violation de données
19:23 à caractère personnel et donc on a l'obligation de réagir lorsqu'il se produit ce type d'incident.
19:28 Donc ça peut être la suppression accidentelle de données, ça peut être la perte de clés USB,
19:33 par exemple dans le bus, une clé USB non protégée, des données à caractère personnel sont sur cette
19:38 USB, elle a été égarée, sans erreur humaine, sans faire exprès, c'est une violation de données à
19:46 caractère personnel. Donc des violations de données sont produites, même si on anticipe,
19:52 même si on se prépare, l'erreur est humaine, encore une fois, donc des violations surviennent
19:57 et il s'agira d'y répondre de cas échéants. Il y a trois choses à trois niveaux de risque,
20:10 donc c'est une petite matrice qu'a posé la CNIL. Donc dès qu'on a une violation de données,
20:17 il faut déjà avoir sensibilisé bien sûr ses équipes pour arriver à détecter cette violation
20:22 de données et la faire remonter. On peut en fait se dire "ah tiens mince, la clé USB a été perdue,
20:28 bon on se débrouille d'une autre façon pour retrouver ces données si toutefois elles étaient
20:31 présentes sur un autre support" et ne pas forcément informer du fait de ne pas avoir
20:36 été sensibilisé ou informé sur ces sujets, de ne pas avoir informé la direction ni potentiellement
20:40 le délégué à la protection des données. Donc sensibilisation des équipes, c'est la première
20:45 étape en matière de protection des données contre la cybersécurité, c'est souvent par cet
20:49 entrée là qu'il faut commencer la sensibilisation. C'est long, c'est dur dans le sens où ça demande
20:56 des ressources à l'organisation et en même temps c'est indispensable pour respecter vos obligations
21:02 en matière de protection des données comme pour protéger votre organisation de cybermenaces.
21:07 Je rappelle qu'un ransomware, deux tiers des organisations qui ont subi une attaque de ce type
21:17 mettent la clé sous la porte dans les deux ans qui suivent. Il faut réfléchir à ça,
21:24 c'est stratégiquement primordial. Donc dès qu'on a une violation de données, on déclenche une
21:32 réaction à cette violation de données, on déclenche une enquête, on essaie de réunir
21:37 un certain nombre d'informations, c'est une documentation, donc quoi qu'il arrive,
21:42 même si à la fin on peut aussi dire qu'il n'y a aucun risque pour les personnes concernées,
21:46 parce que quand on essaiera d'estimer le risque, on doit se positionner en tant que
21:50 personne concernée. C'est donc les personnes, les données qui ont fuité appartiennent à ces
21:57 personnes-là. Donc on se met à leur place et on se pose la question du risque. On reviendra
22:02 un petit peu sur comment faire, quelles questions se poser. Simplement je vous montre cette matrice
22:07 en train. Si à la fin de cette réflexion on n'arrive sur aucun risque, il faudra tout de même
22:15 documenter en interne dans le registre des violations. Si on arrive sur un risque, on doit
22:21 faire la documentation en interne et une notification auprès de l'autorité de contrôle. Et on a un délai
22:26 maximum de 72 heures, donc ça va très très vite pour faire cette notification auprès de l'ACME.
22:31 Et enfin si on a un risque élevé, on doit faire les deux premiers, documenter en interne,
22:37 notifier auprès de l'ACME et informer les personnes concernées. Que doit contenir ce
22:45 registre ? Parce que quoi qu'il arrive, à partir du moment où on a une perte de contrôle sur les
22:49 données qu'on nous a confiées, même s'il n'y a aucun risque, on doit faire cette documentation
22:53 en interne à travers un registre des violations. Ce registre doit notamment contenir les éléments
23:01 suivants, la nature de la violation, les catégories et le nombre approximatif de personnes concernées,
23:06 catégories et le nombre approximatif d'enregistrements concernés, les conséquences
23:10 probables de la violation, les mesures prises pour remédier à la violation et le cas échéant pour
23:15 limiter les conséquences négatives de la violation, le cas échéant, la justification de l'absence de
23:20 notification auprès de l'ACME ou d'information des personnes concernées. Voilà à minima les
23:26 informations qui doivent être contenues dans le registre des violations de données. C'est là
23:32 où je fais une petite démonstration, en tout cas que je vous montre à quoi peut ressembler ce registre
23:38 des violations à travers un outil de gestion de la conformité qui s'appelle ProDPO, qui est une
23:43 solution dédiée au DPO, aux personnes qui ont en charge la protection des données au sein de leur
23:49 organisation. Ce que j'ai fait, je vous montre ça tout de suite, voilà. Donc là, ici on est dans
24:04 l'outil ProDPO, donc on a un tableau de bord, le registre des traitements, violations, exercices
24:09 des droits, demandes au DPO, gestion des tâches, c'est un logiciel complet qui permet de se mettre
24:14 en conformité et de se tenir en conformité dans le cadre des intérêts. Si ça vous intéresse,
24:17 c'est pas à revenir vers moi sur cet aspect-là. Nous, on va se concentrer sur le registre des
24:22 violations. Ce qu'on a fait dans cet outil, c'est que quand on clique sur "nouveau", là on déclenche
24:29 une nouvelle violation de données et donc c'est différentes thématiques qui nous posent différentes
24:35 questions pour documenter tout ça au sein de notre registre. Il s'avère que les questions
24:39 qu'on va voir ici rapidement sont les questions qui sont posées par l'ACNIL au moment de la
24:44 notification auprès de l'ACNIL. Vous avez vu que quand il n'y a pas de risque, on doit le
24:51 documenter en interne, ce qui est fait là, quand il y en a un, on le notifie auprès de l'ACNIL.
24:55 Donc ça, ça nous permet directement de répondre aux questions qui vont être posées dans un second
25:00 temps. Si toutefois ça remonte comme il existe un risque, on aura la réponse aux différentes
25:07 questions que peut nous poser l'ACNIL. Donc tout de suite, ça aide à réagir en cas de violation
25:12 de données. Au sein du cabinet Silexo, on a une à plusieurs violations de données par mois chez
25:21 nos clients. C'est encore une fois des choses qui arrivent. Il faut pouvoir réagir rapidement,
25:26 généralement c'est un petit peu la panique en interne des organisations de nos clients. Donc
25:32 c'est un outil qui permet de structurer un petit peu les choses. On a un certain nombre d'informations,
25:37 la date de début, la date de fin, la date de découverte, l'estimation du niveau de gravité,
25:42 qu'on ne mettra pas au départ, mais généralement ce sera après l'enquête. Tout de suite, quand il
25:48 y a une violation de données, on doit déclencher deux choses, c'est demander à des personnes,
25:51 des informaticiens, des personnes très techniques, de faire une enquête sur que s'est-il passé si
25:56 toutefois il y a eu une intrusion dans le système d'information, par exemple. Et on doit avoir une
26:01 partie beaucoup plus organisationnelle, étape par étape, documenter ce qui est en train de se
26:07 passer et arriver à savoir où on va. Donc c'est deux aspects de réaction au cas de violation de
26:13 données. Quels sont les types de questions qu'on peut retrouver au sein de ce registre,
26:18 de ce questionnaire en cas de violation ? Ça va être dans quelles circonstances vous avez
26:22 découvert cette violation ? Quelle est la nature de la violation ? Est-ce que c'est la confidentialité
26:26 qui a été revue en cause, l'intégrité ou la disponibilité ? Confidentialité c'est le fait
26:30 que des personnes qui n'étaient pas censées connaître ces informations ont accédé à ces
26:35 infos. L'intégrité c'est ne pas être sûr que les informations qu'on possède n'ont pas été
26:39 modifiées par un tiers. La disponibilité c'est notre incapacité à se connecter,
26:45 à arriver à accéder à ces informations, qu'elles soient temporaires ou définitives.
26:49 Descriptions détaillées de la violation, là on est sur quelque chose d'un peu plus long. L'origine
26:56 de l'incident, est-ce que c'est un équipement qui a perdu volet, est-ce que c'est du papier,
26:59 est-ce que c'est un piratage, un dossier malveillant et ainsi de suite. Cause des violations,
27:05 est-ce que c'est inter-malveillant accidentel, exter-malveillant accidentel, inconnu ? C'est
27:11 ce type de questions qu'il faut se poser et ce sont les questions qui sont posées par l'ACNIL
27:16 lorsque vous déclarez cette violation. Donc la nature et la teneur des données personnelles
27:22 concernées par la violation, encore une fois à travers les trois définitions que je vous ai
27:25 donné, sur quoi on se concentre, c'est sur les données à caractère personnel des gens. Donc
27:30 ça va être quels sont les types de données pour arriver à leur nombre, la catégorie de personnes
27:37 concernées et le nombre approximatif de personnes. C'est avec ces questions-là qu'on arrivera à
27:42 fixer est-ce qu'il y a zéro risque, un risque ou un risque élevé. Les conséquences, qu'elles
27:47 sont les conséquences potentielles. Donc là encore une fois, on va se positionner comme si on était
27:52 les personnes concernées par cette violation de données, non par la perte de nos données à
27:56 caractère personnel. Qu'est-ce qui pourrait nous arriver ? Mesure patient d'identité,
28:00 est-ce qu'il y a de l'escroquerie, est-ce que ça va être du préjudice moral ? On doit se poser
28:06 ce type de questions. La nature des impacts, discrimination, vol d'identité, fraude, voilà.
28:12 C'est ce genre de choses qu'on va retrouver ici. Quelles sont les mesures ? Donc bien sûr,
28:16 on doit être en conformité pour arriver à répondre correctement à ce type de questions.
28:23 Si on n'a aucune protection autour des données qu'on nous a confiées, il va être compliqué
28:26 ici de mettre quelles étaient les mesures de sécurité préalables à la violation. Et c'est
28:30 typiquement le genre de choses que la clinique va regarder lors d'une notification près de la
28:34 clinique, qui va regarder un petit peu qu'est-ce qui était mis avant, qu'est-ce qu'on a rajouté
28:37 pour patcher un petit peu ces choses-là, pour pas que ça se reproduise. Et ensuite,
28:43 communication aux personnes, est-ce qu'on est jusqu'à un risque élevé pour les personnes ? Et
28:48 dans ce cas-là, on prend la décision de faire une communication aux personnes concernées de
28:53 cette violation des données. Je vais vite et je parle beaucoup. Maintenant, je ne sais pas,
29:08 peut-être que les questions sont plus à la fin de la présentation. Il y a des questions.
29:14 Pas de questions pour l'instant du canal.
29:22 Tac, parfait. C'est que je suis clair ou je les ai assommées, c'est l'un ou l'autre. On va se
29:30 dire que je suis clair. Le registre des violations, on a parlé un petit peu du délai. 72 heures,
29:36 ça passe très très vite. À partir du moment où on a découvert cette violation de données,
29:40 il faut réagir rapidement. Encore une fois, se préparer à ces violations est bien la chose
29:45 qu'il faut faire. Avoir une vision claire de comment on va réagir, quelles seront les
29:52 différentes étapes. Lorsqu'on utilise un outil comme ProDPE, ce que je vous ai bien montré,
29:58 il suffit de déclencher une nouvelle violation pour que ça structure un petit peu notre réaction.
30:02 Quand on n'a pas ce type d'outil, une des bonnes pratiques, par exemple, que je dis souvent,
30:06 ça va être en 72 heures, il se passe beaucoup de choses. Au début, on part sur des pistes
30:10 d'enquête. Notre système d'information a été corrompu. On commence à se poser des questions,
30:18 on se dit par où on commence à arriver, depuis combien de temps, est-ce que des informations
30:22 ont été exportées. Voilà, toutes les questions qu'on se pose. Et on commence à essayer d'enquêter
30:29 sur ça. Des fois, on part sur des mauvaises pistes. Ce qu'il faut faire, c'est un cahier de bord de
30:36 ce qui s'est passé. On va tenir un petit peu. On a découvert à quel moment. Et à partir de là,
30:41 on se dit, dès qu'on découvre quelque chose, une information vient s'ajouter à la compréhension
30:46 de cette violation. On va noter et expliquer ce que c'est que la nouvelle information par rapport
30:53 à ça. Après, une fois qu'on a sonné, on prend conscience de ce qui s'est passé. Il faut tout
30:58 de suite, la deuxième étape, ça va être de faire cesser cette violation de données,
31:04 donc de prendre les mesures qui permettent d'éviter, de stopper cette violation. Et ensuite,
31:10 on commence à documenter un petit peu ce qu'on a fait et répondre aux différentes questions que
31:14 je vous ai montrées juste avant. Donc, j'étais sur les durées. Notification initiale dans un
31:21 délai de 72 heures. En gros, on a plusieurs possibilités. Ce qu'il faut retenir. Ici,
31:30 vous voyez "notification complète", "notification initiale" ou "notification complémentaire". En
31:35 gros, quoi qu'il arrive, on a 72 heures pour faire une notification. Si on n'a pas toutes
31:39 les informations dans ce délai, on peut faire une notification initiale et revenir plus tard avec le
31:44 reste des informations pour faire une notification complémentaire. Mais il faut retenir qu'on a 72
31:50 heures pour mettre tout de suite qu'on comprend qu'on a eu une violation de données au sein de
31:55 notre organisation. Comment notifier ? C'est directement en ligne. Donc là, je vous ai mis,
32:01 on a eu 4668 notifications de violations de données en 2023. Donc, c'est plus de 15%. Ça
32:08 fait 5 ans, 6 ans que ça grimpe à plus de 10% chaque année. Et on le voit dans les informations
32:18 extraites du rapport annuel de la CNIL, sur le rapport d'activité de la CNIL. Donc, comment
32:24 notifier ? On se connecte sur le site de la CNIL, on tape "violation de données", derrière on arrive
32:29 sur une page qui nous explique un petit peu ce qu'est une violation de données, comment y réagir,
32:34 et aussi comment déclarer, démarrer une notification. Donc, c'est un téléservice,
32:38 c'est directement sur le site de la CNIL en ligne. Je vous ai juste fait un capture d'écran de la
32:44 première page, quand on clique juste avant là sur "démontrer, démarrer une notification",
32:50 on arrive directement sur cette page-là. Donc, on voit, on aura "type de notification",
32:55 après "organisme", donc là, on doit dire qui nous sommes à propos de la violation. Et là,
33:00 les trois derniers, donc 3, 4, 5, ce sont les différentes questions qu'on a vues sur ProDPO,
33:06 qui sont directement mis là. Petite astuce et petite chose, évitez de remplir au fur et à
33:14 mesure une page web et de remplir au fur et à mesure les informations, en se disant qu'on va
33:18 les trouver au fur et à mesure, et au final, cette page-là reste ouverte d'une heure, trois heures,
33:22 le temps de la remplir et de la compléter. Ça peut planter, on peut perdre toutes ces informations-là.
33:29 Travaillez plutôt à côté, répondez à ces différentes questions directement dans votre
33:34 registre des violations ou sur un outil comme ProDPO. Une fois que vous avez l'ensemble des
33:38 informations ou au terme des 72 heures, même si vous n'avez pas toutes ces infos, là, vous faites
33:43 simplement du copier-coller pour remplir les différentes cases de cette notification de
33:50 violation. Qu'est-ce qu'on va faire à la CNIL ? Parce qu'on peut se poser cette question-là aussi.
33:55 Une fois qu'on a fait cette notification, auprès de la CNIL, du coup, elle va inscrire la notification
34:02 et il y a deux options, soit la clôture, soit elle demande plus d'informations ou d'informer les
34:13 personnes concernées. Donc, lorsque le notifié pourra clôturer, si la CNIL constate que la
34:20 violation ne porte pas atteinte au débit à caractère personnel ou ne représente pas de
34:26 risque pour les droits et libertés des personnes, donc on se place en tant que personne concernée.
34:30 Vous avez correctement informé les personnes concernées, vous avez mis en place préalablement
34:35 la violation, c'est ce dont je vous parlais tout à l'heure, des mesures techniques de
34:40 protection appropriée. En creux, ici, si vous n'aviez pas mis au préalable de cette violation
34:47 des mesures techniques de protection appropriée, ça peut déclencher une information de la CNIL,
34:53 un certain nombre de questions. On a tout intérêt à, bien sûr, se préparer à ce type d'événement,
34:59 pour voir derrière si c'est simplement une erreur humaine ou que l'attaque est toujours
35:05 plus forte que la défense, ça peut arriver. Donc, si on est carré et qu'on est droit dans
35:13 nos votes et qu'on a mis des choses en place préalablement, il sera d'autant plus facile
35:17 de faire cette déclaration auprès de la CNIL en se disant que ça arrive et qu'on a réagi
35:22 correctement, on a mis des choses en place pour ne pas que ça se reproduise. Quand on a une
35:27 obligation d'information de la CNIL, on le fait et on espère que ça ne se reproduise pas de si tôt.
35:32 Et, douzième, on pourra vous imposer d'informer les personnes concernées, parce que ça c'est un gros
35:39 sujet. Quand on se dit qu'il y a un risque élevé pour les personnes, des strokeries,
35:44 des repassions de identité, ce genre de choses, et que ça concerne pas mal de personnes,
35:50 des données plutôt sensibles, on doit informer les personnes concernées. Donc, potentiellement,
35:56 c'est un bad buzz pour l'entreprise pour lequel ça est arrivé. Ils doivent envoyer un mail,
36:02 comme on a pu recevoir des mails récemment, aux entreprises, aux services publics, qui nous disent
36:12 "bon, ben voilà, on a perdu le contrôle sur vos données de caractère personnel,
36:15 c'est jamais une bonne publicité". Donc, certaines organisations, on va dire ça comme ça,
36:20 certaines organisations pourraient ne pas forcément vouloir informer les personnes concernées et dire
36:27 qu'il y a juste un risque, et pas un risque élevé, pour éviter ça. Donc, la CNIL peut, derrière,
36:31 après avoir revu les réponses que vous lui avez fait à ces différentes questions, au moment de
36:38 la déclaration, vous imposer d'informer les personnes concernées. Donc, ça c'est un peu
36:42 par tous les moyens, le plus simple va être le mail, bien sûr. Des fois, ce n'est pas possible.
36:47 Donc, on va mettre une affiche, par exemple, dans un commerce, une affiche dans l'espace
36:53 réservé au public, en disant "il s'est passé ça, vous êtes potentiellement concernés si on n'a pas
36:59 d'informations précises sur les personnes qui ont été concernées". Hop, et ben voilà,
37:06 on arrive au bout. On m'avait donné, moi j'avais donné une petite demi-heure,
37:11 j'ai un petit peu gratté, comme d'habitude, et je m'arrêterai là.
37:17 Voilà, c'est bon, merci beaucoup. J'avais oublié de mettre le micro. Je n'ai pas vu
37:40 le main levée, je n'ai pas vu de questions dans le chat, je pense que ça doit être clair pour
37:45 les différentes personnes. Allez-y, n'hésitez pas, de toute façon, on va vous faire un retour,
37:53 la vidéo sera en ligne et on vous communiquera les coordonnées d'Alexis sans aucun problème.
37:59 Bon, c'est sûr que parler de violation de données, expliquer dans le détail,
38:06 en 30 minutes, comment réagir, c'est un exercice impossible, en tout cas compliqué. J'ai essayé de
38:16 retracer quelles sont les différentes obligations et comment ça se déroule un petit peu,
38:20 qui intervient là-dedans. Encore une fois, il y a beaucoup d'informations sur le site de l'APNIL,
38:26 n'hésitez pas à aller voir. Moi, je me rends disponible pour toutes vos questions,
38:29 il n'y a aucun problème, sur la violation de données comme sur la protection des données,
38:33 au sens plus large, n'hésitez. Merci pour cette invitation Sébastien, et avec plaisir que de
38:46 revenir pour discuter de cyber sécu ou protection de données, c'est un grand plaisir. Pas de
38:50 problème. Merci à tous pour votre participation, le prochain webinaire aura lieu le 24 juin à 14h,
38:59 et cette fois ce sera avec une autre entreprise de la région qui s'appelle Serenityc, qui est
39:05 basée à Beau dans Côte d'Or, et le sujet du webinaire sera autour de la sensibilisation,
39:11 comment sensibiliser la direction des entreprises au bon fonctionnement et à la sécurité du système
39:16 d'information. Merci Alexis, merci à tous, et puis bonne journée. Au revoir. Bonne journée.
39:25 [Silence]