Deux tiers des sanctions de la CNIL visent des manquements à l'obligation de sécurité informatique.
Le RGPD est le seul texte européen imposant des obligations précises de cybersécurité pour les professionnels.
En effet, les données à caractère personnel et plus particulièrement les traitements sur ces données ont une obligation, par la LOI, d’être sécurisés.
Pour rappel, la perte, le vol, l’accès pour des personnes non autorisées, la corruption de données à caractère personnel sont en terme de règlementation, synonymes de violation.
Le RGPD impose à tous les organismes qui traitent des données à caractère personnel, la mise en place de mesures pour prévenir les violations de données et d’avoir anticipé les procédures appropriées en cas d’incident. Ceci est bien entendu l'affaire de votre service informatique mais pas que. Il s'agit aussi de l'application de règles de bons usages pour tous les utilisateurs du Système d'information.
La ou le chef(fe) d'entreprise, la ou le responsable de la collectivité, la ou le président(e) de l'association, etc. ont le devoir devant la loi, d'une obligation de moyens renforcés. Dans ce contexte, la sensibilisation aux règles de bonnes pratiques par les utilisateurs(trices) apparaît essentielle.
L’objectif étant d’éviter qu’une violation de données ou incident ne génère des préjudices pour l’organisme mais aussi, bien entendu, pour les personnes concernées par le traitement de leurs données à caractère personnel.
Le règlement nous rappelle à travers l’article 4.12 ce qu’on entend par « violation de données à caractère personnel », :
« violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
En complément, d’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.
Notre fonction d’expert en RGPD, associée à nos missions de DPO viennent directement s’appuyer sur notre savoir-faire d’experts en sécurité informatique pour bien identifier les priorités à mettre en œuvre auprès de nos clients pour leur assurer une approche adaptée sur le plan technique, financier et règlementaire.
Ch Nouhau