Vos échanges avec la CNIL facilités

Selon vos traitements de données à caractère personnel, vos activités et les cyberattaques que vous pouvez subir, vous pourrez être amenés à échanger avec l’autorité de contrôle du RGPD (la CNIL en France, l’APD en Belgique, la CNPD au Luxembourg). Les solutions ProHacktive vous permettent d’affiner les renseignements à transmettre, permettant ainsi une meilleure collaboration qui sera bénéfique pour votre structure et vos clients.

Analyse d’impact relative à la protection des données (AIPD)

Dans le cas de traitement de certaines données sensibles, le RGPD prévoit une analyse d’impact relative à la protection des données (AIPD, article 35). Toutes les entreprises ne sont pas systématiquement soumises à cette AIPD. La CNIL a publié un guide pour déterminer si une telle action est à entreprendre :

• traitements pour lesquels une AIPD est obligatoire en France : https://www.cnil.fr/fr/liste-traitements-aipd-requise
• traitements pour lesquels une AIPD n’est pas obligatoire en France : https://www.cnil.fr/fr/liste-traitements-aipd-non-requise

Une AIPD doit au moins contenir :

• la description des traitement de données personnelles leurs finalités
• l’évaluation de la nécessité de ces traitements
• l’évaluation des risques pour les personnes concernées
• les mesures prises, notamment informatiques, pour garantir la sécurité des données à caractère personnel et le respect du RGPD

Pour ce dernier point, les solutions ProHacktive vous permettent de communiquer à l’autorité de contrôle l’état exact de votre réseau informatique. De votre côté, il vous est plus simple de repérer et colmater les failles et ainsi vous prémunir des intrusions et du piratage qui seraient extrêmement dommageables dans le cas de traitement de données sensibles.

En cas de violations de données personnelles

Si malgré tous vos efforts, vous avez été victime d’une perte ou d’un vol de données personnelles par cyberattaque, le responsable du traitement a 72 heures pour prévenir l’autorité de contrôle (article 33). La notification doit au moins contenir :

• les coordonnées du DPO et de toute personne ressource
• les conséquences probables de la violation pour les personnes concernées
• l’ampleur et la nature de la violation de données à caractère personnel
• les mesures prises et/ou à prendre pour remédier à la violation ou en atténuer les effets

Dans les deux derniers cas, les services ProHacktive peuvent vous permettre de comprendre l’origine de la violation de données. En agissant rapidement avec votre infogéreur, vous pouvez

• limiter l’impact de la violation
• éviter qu’elle se reproduise en renforçant la sécurité de votre réseau
• fournir des informations très précises à l’autorité de contrôle, montrant ainsi votre bonne volonté

Il faut garder à l’esprit que le but premier de l’autorité de contrôle (CNIL, APD ou CNPD par exemple) est d’accompagner les responsables de traitement vers de meilleures pratiques et une sécurité des données à caractère personnel accrue. En fournissant des informations précises grâce au Dashboard PHK, vous aidez la CNIL à vous aider.

Atténuation des sanctions de la CNIL

L’article 83 du RGPD prévoit de très lourdes sanctions en cas de non-respect du règlement (jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaire mondial, le montant le plus élevé étant retenu). Évidemment, de telles sanctions n’ont été prononcées que pour de grosses structures (publiques ou privées) dont les torts ont été… conséquents.

A lire : « les plus grosses amendes du RGPD »

L’ampleur des sanctions infligées par les autorités de contrôle n’est pas mécanique. Elle est déterminée à travers de nombreux paramètres subjectifs et objectifs, dont notamment :

• les mesures prises par le responsable du traitement pour atténuer les dommages
• le degré de responsabilité de la structure au regard des mesures techniques mises en œuvre
• le degré de coopération avec l’autorité de contrôle

Les services ProHacktive et notamment le Dashboard vous permettent de connaître en temps réel les failles de votre réseau informatique. Avec cette information primordiale, le responsable du traitement (ou le DPO) peut coopérer activement et efficacement avec l’autorité de contrôle. En démontrant la bonne foi de votre structure, la sanction (s’il doit y en avoir une) s’en verra atténuée. La CNIL est claire sur ce point : plus la conformité est mise en œuvre en amont, moins le risque juridique sera élevé.

Plus d’informations sur https://prohacktive.io

Auteur : Pierre Kessler (Référent DPO ProHacktive)