Le RGPD en toute sérénité

Anticipation de crises

Cyber violation de données

Toutes les données personnelles collectées ou traitées dans les structures privées, publiques ou associatives ont une valeur marchande avérée.

Un visage en gros plan. L'œil s'impose par la netteté de la pupille, semblant observer de l'intérieur le monde des réseaux auquel appartient l'individu

Pour certains auteurs, comme Yuval Noah Harari, « nos données personnelles sont probablement la ressource la plus précieuse que la plupart des humains puissent encore offrir. » [source : Homo Deus, une brève histoire du futur, 2022]. Pour d’autres, les données constituent la matière première « devenue aussi indispensable qu’autrefois les minerais et autres gisements de ressources naturelles. » [Patrick Pharo, Les data contre la liberté, PuF, 2022].

Il est donc fort peu étonnant que cette nouvelle « ruée vers l’or » intéresse des individus mal intentionnés. Aujourd’hui, un véritable marché de l’attaque des systèmes d’information s’est développé et génère des profits illégaux juteux qui attirent toujours plus d’escrocs.

Chaque semaine, un acteur majeur de la vie économique et sociale fait la une des médias, victime d’une cyber attaque : entreprises leaders, organismes officiels, ministères, établissement publics et en particulier ceux d’importance vitale, comme les hôpitaux… Aucun n’échappe aux hackers, dès lors que le vol de ses données permet aux escrocs de les monnayer aisément sur le dark web ou que l’incapacité de les exploiter permet d’exiger une rançon substantielle. Les mots “phishing” ou “rançongiciel” font partie du quotidien.

Au-delà, une lecture juridique relève que tout dysfonctionnement du système d’information de votre structure devient un incident de sécurité et non pas seulement une cyberattaque. Si lors d’un tel incident des données personnelles étaient impliquées, il y a violation au sens du RGPD.

Modalités de fonctionnement

Une menace avérée

Statistiques et impacts des cyberattaques sur les entreprises en France

[Source : site Internet data.gouv.fr, https://www.data.gouv.fr/fr/reuses/statistiques-et-impacts-des-cyberattaques-sur-les-entreprises-en-france/, 28 juin 2024]

Le coût moyen d’une cyberattaque pour les entreprises reste élevé, bien que légèrement en baisse par rapport à l’année précédente, passant de 15 640 € à environ 14 720 €. Cependant, une entreprise sur huit rapporte des coûts dépassant les 230 000 €, soulignant ainsi la gravité des cyberattaques les plus destructrices.

Le piratage de messagerie professionnelle reste le vecteur d’attaque le plus fréquent, exploitant la confiance et la routine des employés. Les conséquences à long terme incluent des sanctions réglementaires, une atteinte à la réputation, et des difficultés accrues pour attirer de nouveaux clients.

Les facteurs de vulnérabilité les plus courants incluent :

• Absence de formation régulière : les employés non formés sont susceptibles de tomber dans les pièges des cybercriminels, notamment les attaques de phishing.

• Mise à jour et maintenance déficientes : les systèmes non mis à jour présentent des failles de sécurité exploitées par les assaillants pour accéder aux réseaux d’entreprise.

Anticipation et préparation

Le risque zéro n’existe pas, qu’il soit accidentel ou illicite.

Conformity Data vous aide à anticiper une crise de violation de données et vous assiste pour ajuster les procédures et préparer les outils qui pourront alors être utilisés sereinement en situation d’urgence.

Par l’anticipation, vous limitez au maximum l’impact d’une telle crise, en ayant préparé la mise en œuvre de toutes les actions recommandées en la matière. Ainsi, vous protégez votre structure en cas de questionnement de vos clients, de vos partenaires ou des autorités.

Conformity Data vous informe des mesures de sécurité recommandées pour limiter la survenue d’une crise de violation de données. À cet effet et conformément aux obligations du RGPD, Conformity Data vous accompagne dans l’étude de procédures adaptées à votre structure, en termes de mesures  :

– organisationnelles,
– techniques simples,
– d’amélioration continue de la sécurité.

Cet accompagnement dans la prévention d’une crise repose sur trois volets, adaptés individuellement à chaque structure :

 * Sensibilisation aux enjeux de sécurité relatifs aux données personnelles
* Mise en situation – cas types de crise
* Établissement de procédures d’urgence conformes au RGPD et immédiatement exploitables

Ces procédures et outils adaptés aux volets juridiques de la gestion de crise sont des atouts précieux pour éviter l’asphyxie de vos activités en cas de dysfonctionnement des systèmes de traitement des données ou d’attaque cyber.

Avantages

Assure la conformité des procédures de gestion de crise au RGPD et à la réglementation en vigueur

Planification guidée par un juriste spécialisé en droit des données personnelles

Préparation de plans de crise, procédures et outils sur mesure, adaptés aux spécificités de chaque entreprise ou organisme

Sensibilisation du personnel aux enjeux de sécurité et entraînement aux situations de crise

Honoraires selon le nombre d'heures nécessaires à l'élaboration d'un plan de crise immédiatement exploitable

Des clefs du plan de continuité de l'activité

Les fiches ci-après explicitent les trois phases d’une planification efficace pour assurer la conformité au cadre réglementaire des procédures d’urgence de votre entreprise, organisme public ou association.

Au-delà, en cas situation de crise, accidentelle ou intentionnelle, Conformity Data pourra vous apporter un soutien juridique opérationnel et vous assister dans la mise en œuvre de ces procédures.

Phase 1

Sensibilisation aux enjeux de sécurité relatifs aux données personnelles

Un homme travaille à son ordinateur, dont l'écran représente une maison de laquelle s'échappent des voleurs. Personnification de vol de données personnelles

Chaque membre de votre personnel étant acteur de la collecte, du traitement ou de l’utilisation des données personnelles exploitées par votre structure, il est indispensable que chacun comprenne les enjeux et les conséquences juridiques, économiques et éthiques d’une crise de violation de données.

Aussi bien pour votre structure dans son ensemble que pour les personnes fichées dans vos systèmes d’information.

Des conseils simples et efficaces issus de la CNIL et de l’ANSSI seront ainsi rappelés et analysés dans une mise en perspective adaptée à vos activités, afin de favoriser la mise en œuvre au quotidien des bonnes pratiques en matière de traitement des données.

Phase 2

Mise en situation - cas types de crise

4 mains croisées illustrent le bénéfice de la solidarité, de la réflexion collective pour affronter une crise. Partenariat entre Community Data et la structure hôte

Prolongeant la sensibilisation aux enjeux juridiques, économiques et éthiques de l’exploitation de données personnelles, cette seconde étape permet de mettre en œuvre les mesures d’urgence à l’émergence d’une crise.

Il s’agit de tirer les enseignements de crises ayant frappé différents types d’établissements pour en comprendre les mécanismes, puis apprendre les bons réflexes. Et ainsi limiter le risque d’actions qui, par manque de préparation, se révèleraient alors contre-productives.

Cet entraînement pourra, selon les attendus de chaque structure, prendre des formes complémentaires :

réflexion partagée sur des crises passées, guidée par l’expertise juridique de Conformity Data et ouverte aux solutions qui seraient mises en œuvre en l’état du moment par le personnel participant
mise en situation « autour de la table » pour les acteurs essentiels de la gestion de crise, les appelant à examiner les procédures existantes dans la perspective de la rédaction d’un plan d’urgence (phase 3)
mise en situation par des « cas types » directement sur le lieu de travail, sous réserve d’un appui technique qualifié.

Quelle qu’en soit la forme, cette mise en situation recherche l’amélioration des connaissances sur les procédures de gestion de crise et la préparation à la mise en œuvre des outils appropriés pour limiter au maximum l’impact d’une crise.

Phase 3

Établissement de procédures d'urgence conformes au RGPD et immédiatement exploitables

Une main écrit au clavier d'un ordinateur, entourés d'une toile réseau. Illustre la phase rédactionnelle de l'élaboration des plans, guidée par Conformity Data

La gestion d’une situation critique, dans l’urgence et sans anticipation, génère souvent des effets plus destructeurs que la crise elle-même, notamment en termes d’image pour une entreprise ou un organisme public soumis au questionnement des médias, alertés par le mécontentement de clients ou d’usagers.

Atténuer la crise consiste donc d’abord à disposer d’un « plan sur étagère » dont chacun des membres de la structure pourra mettre en œuvre immédiatement, en cas de besoin et sur ordre du chef de structure, le ou les volets dont il est acteur.

Conformity Data vous guide pour établir un plan d’urgence, c’est-à-dire un ensemble de procédures conformes au RGPD et appropriées à la situation de votre structure :

construites en commun avec le chef de structure et le personnel qualifié, pour assurer leur adéquation aux spécificités de la structure. Pourront ainsi contribuer utilement à la rédaction du plan, le délégué à la protection des données (DPO), le responsable des systèmes d’information, le chargé de communication…
écrites pour qu’elles soient véritablement capitalisées,
immédiatement exploitables, donc diffusées au personnel concerné, et rodées.

En cas de crise, le recours aux outils du « plan sur étagère » assureront une réaction sereine, dans les délais attendus et dans des termes qui conforteront l’image de la structure dans sa capacité à sécuriser les données qu’elle exploite.

CONTACTEZ

Conformity Data

Vos données sont traitées par Conformity Data pour votre demande de prise de contact. Les seuls destinataires sont Conformity Data et son sous-traitant o2switch - France, en charge de la gestion du serveur web. La fourniture de ces données (*) est obligatoire. Pour plus d’informations sur le traitement de vos données et l’exercice de vos droits, reportez-vous à notre politique de confidentialité.

06 40 76 78 90

contact@conformity-data.fr

Branche et fleurs roses

RGPD, NIS2, AI Act - le droit du numérique en toute sérénité