Correction du second exercice sur le RGPD
1. Identifier trois (3) risques ou non-conformités éventuels
1. Non-respect de l'obligation de notification en cas de violation de données personnelles
- Le RGPD (articles 33 et 34) impose de notifier l'autorité de contrôle (CNIL en France) dans les 72 heures suivant la découverte d'une violation de données à caractère personnel. Ne pas le faire expose l'entreprise à des sanctions.
- En cas de risque élevé pour les droits et libertés des personnes, il faut également informer les personnes concernées.
2. Manque de sécurité et de confidentialité des données
- Le fait que le serveur de bases de données n'était pas totalement chiffré et qu'il y ait des failles de sécurité constitue une violation du principe d'intégrité et de confidentialité (article 32 du RGPD).
- Les données de centaines de clients étant potentiellement compromises, l'entreprise n'a pas mis en place des mesures techniques et organisationnelles suffisantes (ex : chiffrement, segmentation, correctifs de sécurité à jour) pour protéger les informations sensibles.
3. Absence de traçabilité et de logs suffisants
- Le manque de journaux de connexion rend difficile l'identification de la source de l'attaque et l'évaluation précise de l'impact.
- Ceci contrevient au principe d'accountability (responsabilité) du RGPD, car l'entreprise doit être en mesure de prouver qu'elle respecte les obligations de sécurité et doit pouvoir « tracer » les accès aux données.
2. Proposer deux (2) améliorations ou mesures techniques/organisationnelles
1. Renforcement de la sécurité et de la traçabilité
- Mise en place d'un chiffrement des données au repos (chiffrement du disque et des bases de données). Cette mesure réduit le risque de divulgation en cas d'intrusion ou de vol de supports.
- Gestion rigoureuse des journaux de connexion (logs) : conserver les logs pendant une durée suffisante, les stocker de manière sécurisée (idéalement sur un serveur dédié), et mettre en place un outil de supervision pour détecter les accès anormaux.
2. Formalisation d'une procédure de gestion des incidents de sécurité
- Rédiger et appliquer un plan d'incident response clair (découverte de l'incident, confinement, analyse, notification à la CNIL et aux utilisateurs si nécessaire).
- Nommer un référent RGPD ou un DPO (Data Protection Officer) si le volume et la sensibilité des données le justifient, pour veiller au respect des obligations légales et assurer la sensibilisation du personnel.
3. Rédiger un court argumentaire (5 à 8 lignes)
« Monsieur/Madame [Votre responsable],
Pour limiter l'impact d'une violation de données, il est indispensable de respecter nos obligations légales en matière de protection des informations personnelles.
Le RGPD nous impose de notifier rapidement l'autorité de contrôle (CNIL) et, si nécessaire, d'informer nos clients afin d'éviter des sanctions pouvant aller jusqu'à 4 % du chiffre d'affaires annuel.
De plus, l'absence de logs complets et de chiffrement affaiblit considérablement notre niveau de sécurité, exposant l'entreprise à de futures attaques et à une perte de confiance de nos clients.
Mettre en place une politique de sécurité intégrant le chiffrement, la gestion des logs et la formation du personnel renforcera notre crédibilité et respectera les exigences de conformité.
Investir dans ces mesures n'est pas seulement une exigence réglementaire : c'est aussi un gage de confiance pour nos partenaires et nos clients. »
Notions-clés de la correction
- Notification : Obligation légale en cas de fuite (articles 33 et 34 RGPD).
- Sécurité des données : Article 32 du RGPD, nécessité de mettre en œuvre des mesures techniques et organisationnelles adéquates.
- Traçabilité : Les logs sont indispensables pour identifier l'origine d'une attaque et justifier la conformité (« accountability »).
- Améliorations : Chiffrement, gestion des logs, politique de gestion des incidents, formation du personnel, désignation d'un DPO ou référent RGPD.
- Argumentaire : Insister sur les obligations, les risques financiers et juridiques, ainsi que l'importance de la confiance des clients.