DIGITAL SOLUTIONS

Comment se préparer à l’obligation de déclaration de fuites de données de l’UE ?

La réglementation européenne en matière de déclaration obligatoire de fuites de données prend progressivement corps. Cela ne manquera pas d’avoir un impact important sur les entreprises en raison des fortes amendes (jusqu’à 10% du chiffre d’affaires) qui y sont associées. Pour la première fois, l’analyse de risque devient une réalité nettement plus tangible pour les CFO/directeurs financiers dans la mesure où une fuite de données ou une attaque contre les données se traduira dorénavant par des amendes conséquentes.

December 11, 2015

La réglementation européenne en matière de déclaration obligatoire de fuites de données prend progressivement corps. Cela ne manquera pas d’avoir un impact important sur les entreprises en raison des fortes amendes (jusqu’à 10% du chiffre d’affaires) qui y sont associées. Pour la première fois, l’analyse de risque devient une réalité nettement plus tangible pour les CFO/directeurs financiers dans la mesure où une fuite de données ou une attaque contre les données se traduira dorénavant par des amendes conséquentes.

Les entreprises belges ont-elles conscience des implications?
Steven Heyde, directeur régional de Trend Micro pour le Benelux, estime que rares sont les chefs d’entreprise belges à avoir pris conscience des implications de cette nouvelle réglementation. On sait d’ores et déjà que cette obligation de déclaration des fuites de donnée entrera en vigueur aux Pays-Bas à partir du 1er janvier prochain. On sait aussi que la Belgique et le Luxembourg feront de même… Il est dès lors grand temps que les entreprises s’y préparent. Mais comment procéder? Voici quelques conseils et mesures qui peuvent vous aider:
  1. N’utilisez pas plus de données que vous n’en avez besoin
    Osez porter un regard critique sur les informations dont vous disposez et que vous collectez en tant qu’organisation. Toutes ces données sont-elles réellement nécessaires? Veillez à ne pas collecter et conserver plus de données que nécessaire. Eliminez à intervalles réguliers les données dont vous n’avez plus besoin et éliminez, si possible, les éléments distinctifs pouvant conduire à une identification.
  2. Limitez autant que possible les accès aux données
    Plus nombreuses seront les personnes ayant accès à certaines données, plus grand sera le risque qu’elles se retrouvent dans des endroits où elles n’ont pas lieu d’être. Veillez dès lors à ce que certaines données ne soient pas accessibles à tout le monde mais faites en sorte, au contraire, qu’elles ne le soient que pour un nombre de personnes soigneusement sélectionné.
  3. Veillez à appliquer une protection adéquate
    Les entreprises et organisations sont censées prendre les mesures adéquates afin de protéger leurs données contre les pertes ou toute forme de traitement illégitime. Procédez dès lors à une analyse critique de la situation actuelle en matière de sécurité. Faites de préférence procéder à un audit, de telle sorte à déterminer avec précision quelle est la situation de votre organisation. S’il s’avère, à l’issue de cet exercice, que la sécurité souffre de carences, vous avez la possibilité – à condition d’agir rapidement – de prendre les mesures qui s’imposent pour y remédier. A partir de janvier, si votre organisation se trouve par exemple confrontée à une cyber-attaque avec, pour conséquence, que des données échappent à votre contrôle, vous vous verrez dans l’obligation, en tant qu’organisation, d’en faire la déclaration. S’il s’avère par ailleurs que la protection de ces informations laissait à désirer, vous pourriez écoper d’une (forte) amende. Il est donc essentiel pour vous de mettre de l’ordre dans vos affaires et de prendre les mesures nécessaires.
  4. Définissez des règles et élaborez un plan
    Ce serait utopique de croire que votre organisation ne sera pas la cible d’une cyber-attaque, d’une campagne d’hameçonnage (“phishing”) ou d’une quelconque autre forme de cyber-criminalité. Il faut dès lors vous y préparer. La question n’est en effet pas de savoir “si” vous serez pris pour cible mais plutôt quand. Outre la prise des mesures de sécurité adéquates et l’élaboration d’un protocole interne en matière de protection des données, vous devez veiller, en tant qu’organisation, à ce qu’une charte, dédiée à la cyber-criminalité, soit édictée. Veillez à ce qu’un protocole soit disponible, qui expose clairement les mesures à prendre, par exemple lorsque vous êtes confronté à une fuite de données ou à une attaque ciblée. Il est essentiel, en la matière, de pouvoir agir rapidement mais également de manière adéquate et posée. N’oubliez pas par ailleurs qu’une déclaration doit presque toujours être faite auprès de la CPVP, organe de contrôle, en cas de fuite de données. Dans de nombreux cas, l’entité ou la personne concernée devra également être informée. Les conséquences pour la réputation de l’organisation sont donc considérables.

Le Parlement européen s’attèle actuellement à baliser les dispositions pratiques qui encadreront l’obligation de déclaration de cyber-attaques et de fuites de données. Cette obligation est l’une des composantes de la Directive Network and Information Security (NIS) et s’applique à l’ensemble des entreprises, même si elle revêt un caractère légèrement moins strict pour les sociétés Internet que, par exemple, pour les aéroports ou les compagnies pétrolières.

Votre obligation de veiller sur les données qui sont en votre possession n’est pas chose nouvelle. Les entreprises et organisations portent en effet la responsabilité de ce qu’on appelle les “mesures techniques et organisationnelles adéquates” destinées à protéger les données à caractère personnel. Cette règle s’applique non seulement aux données financières de votre organisation mais aussi, tout naturellement, aux informations concernant vos clients ou encore aux données personnelles de vos collaborateurs. L’arrivée de la nouvelle réglementation ne se traduit pas uniquement par un renforcement de la surveillance en matière de protection et de sécurisation de ce genre de données (personnelles) mais elle implique également une obligation de déclaration des fuites de données auprès de la CPVP.

La loi sur la déclaration obligatoire de fuites de données prévoit également des amendes lorsque des données se retrouvent dans la nature suite à une atteinte à la sécurité ou lorsqu’une fuite de données n’est pas signalée. La notion de “fuite de données” ne couvre pas uniquement les situations où des données se retrouvent dans la nature suite à une cyber-attaque ou à une opération de piratage. Elle s’applique également à d’autres scénarios, tels que le vol ou la perte d’un support contenant des données (ordinateur portable, dispositif mobile, clé USB).

 

Watch video

In the same category