RGPD et cybersécurité : le lien que beaucoup de PME n’ont toujours pas compris
L’article 4 du Règlement Général sur la Protection des Données (RGPD) définit une violation comme toute destruction, perte, altération ou divulgation non autorisée de données personnelles, qu’elle soit accidentelle ou malveillante. En vertu de ce règlement, tant qu’une faille de sécurité n’expose pas de données à caractère personnel, il n’est pas nécessaire de notifier la Commission Nationale de l’Informatique et des Libertés (CNIL).
Un exemple courant est celui d’un ransomware qui chiffre les machines de production sans exfiltrer de fichiers clients. Bien que cela constitue un incident grave sur le plan technique, il ne nécessite pas de déclaration à la CNIL tant que les données personnelles ne sont pas touchées. En revanche, si une intrusion affecte une messagerie professionnelle, une base clients ou un dossier salarié, la situation entre alors dans le périmètre du RGPD.
Il est souvent difficile pour les entreprises de faire cette distinction rapidement. Les incidents les plus fréquemment notifiés, comme l’usurpation d’identifiants ou la compromission d’un sous-traitant, impliquent généralement des données personnelles, même si l’objectif initial de l’attaquant est financier.
Il est également important de noter qu’une cyberattaque ne conduit pas automatiquement à une violation du RGPD. Par exemple, la perte d’une clé USB non chiffrée ou l’envoi d’un email à un mauvais destinataire contenant une liste de clients exposent des données personnelles. Dans ces cas, une notification à la CNIL est requise pour éviter une infraction au règlement.
Sources :
- Clubic
