Phishing, smishing, fraude au CEO, logiciels malveillants, rançongiciels, vol de mots de passe, faux sites Internet et réseaux Wi-Fi non sécurisés : les avocats représentent une cible privilégiée pour les cybercriminels.
Cette problématique est de plus en plus prévalente dans le milieu juridique. Nombreux sont ceux parmi vous qui ont déjà reçu des courriels provenant prétendument d'un confrère, partageant un dossier de pièces alors qu'aucune affaire n'est en cours.
Il convient de constater que, ces dernières années, les professionnels du droit ont subi une augmentation significative des cyberattaques, au point que certains cybercriminels se sont spécialisés dans ce domaine.
Ainsi, il est essentiel de reconnaître que personne n'est à l'abri, et il est tout à fait possible que vous soyez le prochain ciblé par ces menaces.
Pour continuer à garantir votre conformité au RGPD, nous vous proposons un panorama pratique de vos obligations en cas de violation de données.
La violation des données dans le RGPD
Avant d'aborder de manière pragmatique les obligations des avocats victimes d'une violation de données, il est essentiel de définir cette notion.
Le RGPD définit (en son article 4,12°) la violation de données personnelles comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »
Il s’agit donc de tout incident de sécurité, d’origine malveillante ou non, et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles. En pratique on distingue trois types de violation : la perte de confidentialité, la perte de disponibilité et la perte d’intégrité des données.
Quelques exemples : la suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées ailleurs ; la perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ; l’introduction malveillante dans une base de données scolaires et la modification des résultats obtenus par les élèves.
Il convient de distinguer la violation des données de la violation du RGPD, car seule cette dernière peut entraîner un risque de sanctions administratives. A titre d’exemple : si vous êtes victime d'un piratage, vous ne risquez pas de sanction, sauf si vous avez manqué à votre obligation de garantir un niveau de sécurité adéquat.
- Notification des violations de données
Conformément aux dispositions de l’article 33 du RGPD, en cas de violation de données à caractère personnel, vous devez la notifier à l'Autorité de protection des données dans un délai de 72 heures si cette violation présente un risque pour les droits et libertés des personnes concernées. De plus, vous êtes tenu de communiquer l'incident aux personnes concernées si le risque est élevé, en vertu de l’article 34.
Néanmoins, aucune notification ou communication n'est requise si la violation en question n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Pour évaluer les risques nous vous proposons d’utiliser l’outil mis a disposition par l’ENISA, et / ou de vous faire accompagner par des professionnels.
Ce délai de 72 heures commence à courir au plus tard à partir du moment où vous avez pris connaissance de la violation et non pas à la survenance de l’incident.
En toute circonstance, vous devez tenir un registre des violations de données et le mettre à jour. Nous vous invitons à y préciser le niveau de risque évalué pour les personnes concernées. Ce registre contient à tout le moins, la date et l’heure de la violation, une description de l’incident ; la quantité de personnes concernées, une description des conséquences potentielles, une description des mesures correctives, l’évaluation des risque, la date de la notification à l’APD, l’information. adressée aux personnes concernées
Le CCB (Center for cybersecurity Belgium) propose le tableau suivant :
La notification d'une fuite de données à l'Autorité de protection des données s'effectue au moyen d'un formulaire électronique, qui doit être complété et validé avant d'être soumis via un portail Internet. Il est important de noter que les formulaires envoyés par e-mail ne seront pas traités.
Le formulaire doit être rédigé dans l'une des trois langues nationales. Si cette exigence linguistique n'est pas respectée, la notification sera considérée comme irrecevable. Pour ce faire, il convient de visiter le site de l’Autorité de protection des données et de télécharger le formulaire en suivant ce lien : https://www.autoriteprotectiondonnees.be/professionnel/actions/fuites-de-donnees-personnelles
Une fois sur la page, vous cliquez le lien : « formulaire pour notifier une fuite de données »
ll est essentiel de veiller à ce que vous disposiez de la dernière version d'Adobe Acrobat pour ouvrir le document, sans quoi vous risquez de rencontrer un message d'erreur. Ce formulaire, qui comprend 15 pages, nécessite une multitude d’informations pour être rempli correctement, notamment : le type de violation, la nature, le caractère sensible et le volume des données à caractère personnel, la quantité de personnes concernées, la gravité des conséquences pour les personnes concernées, les caractéristiques particulières des personnes concernées et l’identité du responsable du traitement,…
Une fois le formulaire complété, il doit être soumis via le portail de l’Autorité de protection des données (APD).
- Communication vers les personnes concernées
Lorsqu’une violation des données présente un risque élevé, elle doit être communiquée aux personnes concernées. Il est impératif que cette communication soit gérée avec soin.
Les mentions obligatoires de cette communication sont également énoncées à l’article 34 §2 du RGPD comme suit :
« La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d). »
Cette communication doit être soigneusement formulée afin de préserver l'image de votre cabinet. Il est crucial d'adopter une attitude proactive et transparente. Vous devez montrer que vous assumer la responsabilité de la situation, afin de rassurer les personnes concernées.
En conclusion, compte tenu des délais impartis (72h) et afin de vous faciliter la tâche, nous vous recommandons de mettre en place une procédure documentée adaptée à la taille de votre cabinet. Cette démarche permettra non seulement d'assurer une gestion efficace des violations de données, mais aussi de garantir votre conformité aux obligations réglementaires imposées par le RGPD. En anticipant et en structurant votre approche, vous serez mieux préparé à réagir rapidement et de manière appropriée en cas d'incident, tout en préservant la réputation de votre cabinet.
Nous vous partageons en lien un modèle de registre des violations.
Saba Parsa,
DPO d'AVOCATS.BE
Avocate au barreau du Brabant wallon
