Guide des bonnes pratiques de la CNIL en cas d’accès illégitime aux données de tiers.
Le 19 avril 2023, la CNIL a publié un guide destiné aux professionnels afin de les aider à comprendre et prévenir les risques d’accès accidentel à des données par d’autres personnes que les personnes légitimes.
L’accès illégitime à des données personnelles de tiers peut survenir à tout moment. Cela peut par exemple résulter d’une anomalie informatique comme le souligne la CNIL dans le cas de figure choisi. Si un tel incident est signalé au responsable de traitement voici les mesures à adopter :
- Enquêter pour déterminer la source de l’anomalie.
- Contacter l’équipe en charge des développements informatiques et lui décrire la violation de données personnelles qui s’est produite.
- Consulter la CNIL sur le sujet si l’entreprise ne dispose pas de délégué à la protection des données.
- S’assurer auprès de la personne qui a eu accès illégitimement qu’elle n’a pas conservé ou copié les données des tiers.
- Couper temporairement l’accès au portail internet à l’origine de l’accès illégitime le temps que l’anomalie soit corrigée.
- Rédiger une communication individuelle à destination des tiers dont les données ont été illégitimement consultées. La communication doit détailler :
– Les circonstances de l’incident
– La nature des données concernées
– Le point de contact pour avoir des informations supplémentaires
– Les mesures déjà prises et envisagées et les conséquences possibles pour les personnes concernées
- Communiquer à la CNIL les informations à l’accès illégitime sous 72h.
- Suite à la résolution du problème, nommer un délégué à la protection des données s’il n’en avait pas avant.
L’autorité détaille également la marche à suivre pour limiter le risque d’accès illégitime aux données de tiers.
- Tester les applications en incluant de vérifier la sécurité des données traitées.
- Mettre en place un dispositif de conservation de données de journalisation des actions d’accès, création, modification et suppression sur un traitement de données personnelles.
- Désigner un délégué à la protection des données.
Pour en savoir plus :