Nous joindre par : 0756 ZATAZ 0

A partir du 25 mai 2018, entreprise, il faudra faire ça !

A partir du 25 mai 2018, une fuite de données, un piratage ou la simple consultation de données appartenant à une entreprise devra être notifié à la CNIL, mais aussi aux personnes impactées. Voici un exemple de message envoyée par la Scottrade banque.

Comme je vous l’expliquais, avec la iTrust Community en mars, le 25 mai 2018, la RGPD va entrer en action. En cas de fuite, de piratage, perte, consultation des données clients d’une entreprise Française, cette dernière au l’obligation d’en alerter la CNIL. Le coût s’annonce particulièrement perturbant pour les fautifs. Rien qu’en recommandé avec accusé de réception dans les 72 heures de la constatation, 8 euros X le nombre de clients touchés. La notification de violation aux personnes concernées ne sera pas obligatoire, elle sera déclenchée uniquement si la violation porte un risque élevé pour les personnes. L’entreprise devra alerter ses clients, au plut tôt ! Autant dire que cela concerna 90% des cas. Votre adresse postale, votre numéro de téléphone, … sont déjà des données à risques élevés. La CNIL pourra aussi revenir sur une décision de ne pas notifier. Rien n’empêchera la notification de se faire par mail, certes moins moins cher qu’un accusé réception postale, mais espérons que les anti-spams et autres bugs ne perturbent pas cette alerte. La vraie menace financière sera de deux types : les éventuelles réparations des dommages aux personnes ; l’amende administrative encourue, dont le maximum est porté à 4% du CA mondial du groupe de la société, et pouvant atteindre jusqu’à 20 millions d’euros.

Voici un exemple de message [cliquer sur l’image ci-dessus, NDR] diffusé, ce 4 avril, par la banque américaine Scottrade. Aux USA, cette obligation d’information consiste à alerter les autorités, et les Internautes (impactés ou non). Dans le cas de cette entreprise, un partenaire technique qui a laissé 20.000 données clients dans un cloud non sécurisé.

25 mai 2018, le Noël de la CNIL ?

Comme le rappel la Commission Information et des Libertés, le 25 mai 2018, le règlement européen sur les données privées sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Six étapes sont avancés : Designer un pilote, cartographier vos traitements de données personnelles, prioriser les actions, gérer les risques, organiser les processus internes et documenter la conformité. Le pilote sera le délégué à la protection des données. Un super correspondant Informatique et Libertés (CIL). Ce n’est pas obligatoire, mais je vous recommande fortement de désigner une personne en charge de s’assurer de la mise en conformité au règlement européen. La cartographie, comme son nom l’indique est de tracer la moindre données exploitée par votre entreprise. Mission, éditer un document interne [à protéger comme la prunelle de vos yeux, NDR) qui sera capable d’expliquer comment sont traiter les informations ; quelles sont les informations collectées ; comment sont-elles protégées ; … Ici, la règle du QQQCPO s’applique : Qui, Quoi, Quand, Comment, Pourquoi et où. Très important aussi, sachez quoi faire, sachez qui informer en cas d’incident.

D’ici mai 2018, le site de la CNIL proposera un espace de télé service dédié aux notifications de violations de données personnelles. Il sera disponible en mai 2018 sur cnil.fr. ZATAZ.COM et son protocole d’alerte [plus de 62.000 notifications en 20 ans] est en contact permanent avec la CNIL. (Merci à S.C.)

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Travaille sur les sujets cybercriminalité/cybersécurité depuis 1992 ; Officie/a officié pour Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ... Premier article en 1989 dans le mensuel "Amstar & CPC" ; Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC) ; Reserviste de l'Education Nationale ; Chroniqueur pour WEO TV et France Bleu Nord.

Articles connexes

  1. Kevin Fauchon Reply

    extrait du titre de l’article: “Voici un exemple de message envoyée par la Scottrade banque”.
    Après lecture de l’article, j’ai toujours vu aucun exemple de message.
    JE-ME-LA-PETE-MAIS-QUE-DU-VENT!

    • Damien Bancal Reply

      Cher Kévin,
      Il aurait suffit de cliquer sur l’image au dessus de l’article. Vous auriez ainsi eu l’exemple d’un message, celui de cette banque !

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.