Les cyberattaques par rançongiciels et autres logiciels malveillants représentent un danger croissant pour les entreprises comme pour les particuliers. Depuis 2018, l’Autorité nationale en matière de sécurité et de défense des systèmes d’information (ANSSI) constate une augmentation de ces attaques à l’encontre des organisations publiques et privées, tant à l’échelle internationale que nationale (1). En outre, selon l’Agence européenne pour la cybersécurité (ENISA), les attaques de cybersécurité ont augmenté au cours des années 2020 et 2021. Les rançongiciels et les logiciels malveillants constituent les deux menaces les plus importantes (2).

La crise du Covid a sans doute accéléré le phénomène et le conflit en Ukraine, marqué également par une cyberguerre, laisse craindre des attaques informatiques de grande ampleur.

Suite à une cyberattaque, un délai court pour apprécier les obligations imposées par le RGPD

Ces cyberattaques peuvent entraîner une violation de données à caractère personnel en cas de destruction, perte, altération, divulgation non autorisée ou accès non autorisé à de telles données (art. 4 du RGPD). Confronté à une telle situation, le responsable du traitement a l’obligation, notamment, de la notifier à l’autorité de contrôle compétente (en France, la Commission nationale informatique et libertés [CNIL]), sauf à ce qu’elle soit insusceptible d'engendrer un risque pour les droits et libertés des personnes physiques, comme le prévoit l’article 33 du RGPD.

La notification doit, en outre, être accompagnée d’une communication aux personnes concernées lorsque la violation « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », sauf si le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées qui ont été appliquées aux données à caractère personnel affectées par ladite violation (en particulier des mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement), s’il a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n'est plus susceptible de se matérialiser ou si la communication à la personne concernée exigerait des efforts disproportionnés. Dans ce dernier cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace (art. 34 du RGPD).

La survenance d’une violation de données à caractère personnel oblige donc le responsable du traitement à apprécier la probabilité́ et la gravité potentielle des conséquences pour les personnes concernées, afin de prendre des mesures efficaces pour endiguer et remédier à la violation, mais aussi déterminer s’il est tenu d’informer l’autorité de contrôle compétente et, le cas échéant, les personnes concernées. Par ailleurs, que ces notifications soient nécessaires ou pas, ce dernier doit documenter toute violation en décrivant les circonstances, effets et mesures mis en place pour y remédier, ainsi que le raisonnement justifiant les décisions prises.

La notification de la violation à l'autorité de contrôle compétente doit, le cas échéant, être effectuée « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance » (art. 33 du RGPD). Lorsqu’elle n'a pas lieu dans les 72 heures, elle doit être accompagnée des motifs du retard. De même, la communication à la personne concernée doit, le cas échéant, être effectuée « dans les meilleurs délais ».

La méconnaissance de ces obligations peut avoir des conséquences financières lourdes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l’entreprise en violation (art. 83, § 4, du RGPD). Ces courts délais et le risque associé en cas de manquement rajoutent à la dimension anxiogène de la situation. Dans ce contexte, les lignes directrices du CEPD sont une aide indéniable.

Le CEPD au secours des responsables du traitement

Le Comité européen de la protection des données (CEPD), successeur du groupe de travail « Article 29 », est venu aider les responsables du traitement avec la publication en 2017 de ses premières lignes directrices sur la notification de violations de données à caractère personnel. Il précise, notamment, ce qui caractérise une telle violation, comment évaluer les risques associés pour les personnes concernées, quand et comment procéder à une notification à l’autorité de contrôle compétente, communiquer la violation aux personnes concernées, le cas échéant, mais aussi documenter les violations, etc. (3).

Selon ces lignes directrices, un risque existe pour les personnes concernées lorsqu’une violation est susceptible de leur causer des dommages physiques, matériels ou un préjudice moral, comme la discrimination, le vol ou l’usurpation d’identité, la perte financière ou l’atteinte à la réputation. L’évaluation doit tenir compte notamment du type de violation ; de la nature, du caractère sensible et du volume des données impactées ; de la facilité d’identifier des personnes concernées ; de la gravité des conséquences pour celles-ci ; des caractéristiques particulières des personnes concernées et du responsable du traitement et du nombre de personnes concernées.

Toutefois, le CEPD a estimé que ses premières lignes directrices n’abordaient pas les questions pratiques de manière suffisamment détaillée. Pour combler cette lacune, il a adopté, le 14 décembre 2021, des lignes directrices complémentaires (4). Ces dernières s’appuient sur l’expérience des autorités publiques, dont la CNIL, pour offrir des conseils pratiques et présenter plusieurs études de cas concrets (5).

Evaluation des obligations du responsable du traitement en cas d’exfiltration de données et de rançongiciels

Les nouvelles lignes directrices traitent deux types d’attaques qui peuvent, au demeurant, se cumuler : les attaques impliquant l'exfiltration de données, qui visent à copier, exfiltrer et utiliser des données à des fins malveillantes ; et le rançongiciel, qui vise à chiffrer les données d'une organisation et exiger un paiement ou « rançon » pour en rétablir l'accès.

Bien entendu, l’exfiltration de données peut conduire à des violations de la confidentialité et de la disponibilité des données à caractère personnel, voire de leur intégrité. Quant aux rançongiciels, ceux-ci entraînent généralement une violation par indisponibilité, même temporaire, des données à caractère personnel. Toutefois, la méthode d'infiltration et le type de code malveillant doivent être étudiés afin de déterminer s’il existe aussi un danger d’exfiltration de données.

Face à de telles cyberattaques affectant les données à caractère personnel traitées et nécessitant d’apprécier, dans un délai très court, le risque associé pour les droits et libertés des personnes physiques, le responsable du traitement pourra utilement se référer à ces lignes directrices. Bien entendu, celles-ci ne sont toutefois pas exhaustives mais limitées à quelques exemples qui impliqueront souvent des analogies. En tout état de cause, une bonne analyse technique de la situation pour apprécier quel exemple proposé s’en rapproche le plus et prendre les décisions nécessaires en conséquence.

1. ANSSI, Etat de la menace rançongiciel à l'encontre des entreprises et institutions, 1^er septembre 2021.

2. ENISA, Threat Landscape, octobre 2021. En outre, pour l’année 2020, la Cnil a constaté une nette progression des notifications liées à des rançongiciels : CNIL, Rapport d’activité 2020.

3. Cf. Groupe de travail « Article 29 », Lignes directrices sur la notification de violations de données à caractère personnel, WP 250 rév. 01, 3 octobre 2017.

4. CEPD, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, adoptées le 14 décembre 2021.

5. Voir aussi Groupe de travail « Article 29 », Lignes directrices concernant l’analyse d’impact relative à la protection des données et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé », WP 248 rév. 01, 4 avril 2017.