La collection et conservation des données des clients et utilisateurs de votre site web ou service digital est une épée à double tranchant. Ces données ne sont pas seulement de grand intérêt pour votre entreprise pour une facturation correcte, un service clients, pour le marketing et l'innovation, elles attirent également les cybercriminels. Ceux-ci sont en effet intéressés par des données financières telles que les codes de cartes bancaires, mais ils sont également à la recherche d'informations sensibles sur la santé, la situation familiale ou l'orientation sexuelle. Le piratage de ces données est donc un problème.
Les grandes cyberattaques de l'été passé (entre autres avec le Wannacry ransomware) montrent qu'une bonne cyberprotection n'est plus un produit de luxe pour une entreprise. Le conseil est clair : protéger le mieux possible ses données. Mais que faire si des criminels obtiennent quand même ces données? Faut-il le mentionner aux clients et aux utilisateurs concernés ? Et qu'en est-il des autorités ? Il y a à ce niveau des modifications importantes à venir.
Informer : aucune obligation à l'heure actuelle à part pour les opérateurs télécom
Aujourd'hui il n'existe une obligation légale d'informer les autorités après un cyberincident que pour les opérateurs télécom. Les opérateurs télécom doivent notifier la fuite endéans les 24 heures à l'Institut belge des services postaux et des télécommunications (IBPT) et doivent rendre un rapport plus élaboré endéans les 72 heures. Cela doit uniquement avoir lieu si l'incident a un impact important sur l'exploitation et la sécurité des réseaux et services de télécommunication.
Pour les autres acteurs, il est possible de notifier une fuite de données à la Commission de la protection de la vie privée – la future Autorité Belge de protection des données – mais il n'existe aucune obligation. C'est le choix de l'entreprise elle-même de le faire ou pas. Il ressort des chiffres que les fuites de données sont à peine notifiées. D'un point de vue économique, le secret n'est pas toujours la meilleure solution, comme le prouve la perte de données de Yahoo! L'année dernière, il est apparu qu'une dramatique fuite des données du compte de presque tous les utilisateurs avait eu lieu en 2013. Yahoo! a décidé de garder le secret à propos de cette fuite de données. Lorsque les médias ont écrit sur ce sujet, cela a eu des conséquences majeures sur le cours de l'action de Yahoo! et le prix d'achat payé par Verizon. Les conséquences économiques de la non-communication sont une chose. Cependant, il faut également tenir compte du fait que le client qui encourt un dommage parce que la fuite de données n'aurait pas été signalée, peut éventuellement réclamer une indemnité. A l'heure actuelle, il n'y a aucun cas connu en Belgique dans lequel un utilisateur aurait cité le responsable du traitement des données devant le tribunal en raison d'un dommage suite à une perte de données.
Nouveauté : à l'avenir, il y aura une obligation de notifier la fuite de données
A partir du 25 mai 2018, la situation change en raison de l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD). Ce règlement prévoit une obligation générale de notifier dans le chef du responsable du traitement des données personnelles lors de fuites de données.
Une violation de données à caractère personnel est, selon le règlement, une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données (article 4.12) du RGPD). Il n'y a donc pas uniquement une obligation de notifier dans le cas d'un piratage, mais même lors de la simple perte de données en cas de négligence. Il ressort d'une enquête que la grande majorité des fuites de données accidentelles a lieu à cause du responsable du traitement des données lui-même.
En premier lieu, il y aura une obligation de notifier la fuite de données à un futur point central, opérant sous l'autorité de l'Autorité de protection des données, à moins qu'il est improbable que la fuite de données présente un risque pour les droits et libertés de l'individu. Si c'est néanmoins bien le cas, le responsable du traitement des données doit mentionner la fuite de données endéans les 72 heures à l'autorité de protection des données, avec mention des données suivantes (art. 33 RPVP) :
- la nature de la violation, les catégories et le nombre de personnes concernées ;
- la nature des données à caractère personnel concernées et le nombre (par exemple données financières comme le code d'une carte de crédit) ;
- les conséquences probables de la violation (par exemple la fraude financière) ;
- les données de contact du data protection officer (DPO) ou d'une autre personne de contact auprès de laquelle plus d'informations peuvent être obtenues ; et
- les mesures prises par le responsable pour limiter, prévenir ou remédier à la violation de données (cette information peut être transmise plus tard).
En deuxième lieu, le responsable doit informer la personne dont les données à caractère personnel ont été piratées, mais uniquement quand il existe un risque élevé pour ses droits et libertés. Cela signifie qu'il va falloir avertir plus souvent et plus rapidement l'autorité de surveillance que la personne concernée. L'organe directeur de toutes les autorités de surveillance au sein de l'Union européenne, le G29 (Groupe de travail Article 29 sur la protection des données), a élaboré des directives pour l'évaluation de ce risque (Guidelines on Personal data breach notification under Regulation 2016/679).
L'existence ou non du risque dépend de la sensibilité des données divulguées (par exemple des données sur la santé en fonction de l'âge de la personne), du contexte de la fuite de données (piratage ou non) et l'utilisation possible de cette information.
Transposition de l'obligation de notification en Belgique
A l'heure actuelle, le législateur belge concrétise l'obligation de notification. Le gouvernement a déjà annoncé qu'il y aurait un point central (opérant sous l'Autorité de protection des données) auquel les fuites de données devront être rapportées et auquel le responsable devra signaler la fuite de données. Ce point coordonnera la réaction à adopter face à cette fuite. En cas de non notification de la fuite de données, de lourdes amendes sont prévues. Celles-ci pourront être imposées en plus des amendes pour la sécurité défectueuse des données à caractère personnel.
L'on remarque que l'Union européenne prévoit via la directive NIS une obligation de notification encore plus poussée pour les entreprises et institutions qui offrent des services dits essentiels. Il s'agit notamment des entreprises qui fournissent de l'énergie, des transports, des services bancaires, des infrastructures pour le marché financier, des soins de santé, la fourniture et la distribution d'eau potable et des infrastructures numériques. Elles doivent immédiatement signaler tout incident cybernétique ayant des conséquences importantes sur la continuité des services essentiels qu'elles fournissent aux Computer security incident response teams nationales qui sont encore à fonder. Cette directive doit également être transposée d'ici mai 2018.
Et concernant la police : est-ce que le dépôt de plainte a encore de l'intérêt ?
Est punissable le fait de pénétrer dans un système et de causer un dommage, comme voler, altérer ou détruire des données. Le piratage est par conséquent punissable même s'il n'y a aucun motif financier derrière. Cela vaut également pour le fait de rendre un site indisponible pour des raisons politiques ou juste pour le plaisir. Le législateur belge a formulé les infractions informatiques tellement largement que presque toutes les actions préjudiciables liées à un réseau informatique sont inclues.
La décision de déposer ou non une plainte auprès de la police peut dériver d'une politique de l'entreprise selon laquelle toute infraction pénale doit être suivie d'une plainte. Nous conseillons de prendre également en considération les chances de succès d'une telle plainte entre autres sur base du type d'attaque, des données collectées et de l'origine de l'attaque, ainsi que des dommages financiers, matériels ou à l'image.
Le service d'inspection de l'Autorité Belge de protection des données pourra également informer le procureur du Roi si l'infraction constitue également une infraction pénale. L'obligation de notification va par conséquent pouvoir mener à l'ouverture d'une enquête pénale, que le responsable du traitement des données ou la personne dont les données ont été volées le souhaite ou non.
Il ressort des statistiques officielles de la police que le nombre de plaintes relatives à des infractions informatiques a énormément augmenté ces dernières années. La cybercriminalité est également depuis quelques années déjà une priorité aussi bien pour la police que pour la justice. Ces chiffres représentent seulement une fraction du nombre estimé d'infractions informatiques. Il s'avère en outre que seule une petite partie de ces déclarations mène effectivement à des poursuites pénales, en raison de la faible quantité de données disponibles, du fait que les attaquants utilisent toutes sortes de moyens pour être introuvables ou s'ils planifient leur attaque à partir d'un pays dont ils savent qu'il ne collabore pas ou très peu avec la justice. C'est pourquoi déclarer une attaque ne constitue pas une garantie de trouver les auteurs ou d'obtenir une indemnisation du dommage.
Quel que soit le choix, pour maintenir possible le choix du dépôt d'une telle plainte et des poursuites, une procédure d'urgence doit être mise en place au sein du service IT de l'entreprise pour pouvoir collecter autant de données que possible à propos de l'attaque et un plan d'action doit être prévu pour limiter les dommages éventuels.