Vous êtes une entreprise en Suisse et vous traitez des données personnelles au quotidien. Mais savez-vous ce qu’il faut faire si ces données sont compromises ?
La Loi sur la Protection des Données (LPD) est là pour vous guider, mais sa compréhension peut parfois sembler complexe.
Imaginez un instant que les données sensibles de vos clients soient exposées suite à une cyberattaque.
Non seulement cela pourrait nuire à votre réputation, mais vous pourriez également être en infraction avec la LPD si vous ne prenez pas les mesures appropriées.
Alors, comment éviter de se retrouver dans une telle situation délicate ?
Heureusement, l’Article 24 de la LPD vous donne une feuille de route claire sur la manière de gérer ces violations.
Décortiquons-le ensemble pour une meilleure compréhension.
Comment se préparer
La meilleure défense est une bonne préparation.
Pour éviter d’être pris au dépourvu en cas de violation de la sécurité des données, voici une checklist pour vous aider à vous préparer en amont :
1. Évaluation des risques :
- Identifiez les données sensibles que vous détenez (informations financières, données personnelles, etc.).
- Évaluez les risques associés à chaque type de données.
- Identifiez les points faibles de votre système.
2. Mise en place de protocoles de sécurité :
- Assurez-vous d’avoir des pare-feu et des systèmes de détection d’intrusion à jour.
- Utilisez des méthodes de cryptage pour les données sensibles.
- Limitez l’accès aux données uniquement aux personnes nécessaires.
3. Formation et sensibilisation :
- Formez votre personnel sur les protocoles de sécurité.
- Sensibilisez-les à l’importance de la protection des données.
- Organisez des simulations d’attaques pour tester la réactivité de votre équipe.
4. Plan de réponse en cas d’incident :
- Établissez un plan d’action clair en cas de violation.
- Identifiez les responsables pour chaque étape du plan.
- Préparez des templates de communication pour informer rapidement le PFPDT, les sous-traitants et les personnes concernées.
5. Revue régulière :
- Réévaluez régulièrement les risques.
- Mettez à jour vos protocoles de sécurité en fonction des nouvelles menaces.
- Revoyez et ajustez votre plan de réponse en cas d’incident.
6. Collaboration avec des experts :
- Collaborez avec des experts en cybersécurité pour évaluer et renforcer votre sécurité.
- Envisagez de souscrire à une assurance contre les cyber-risques.
7. Documentation :
- Documentez toutes vos procédures de sécurité.
- Gardez un historique des incidents de sécurité, même mineurs, et des mesures prises en réponse.
8. Tests et audits :
- Effectuez des tests réguliers pour identifier les vulnérabilités.
- Organisez des audits externes pour une évaluation objective de votre sécurité.
Le Jour J
1. Annonce au PFPDT :
Dès qu’une violation de la sécurité des données est détectée, et qu’elle présente un risque élevé pour les individus concernés, vous devez en informer le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT).
Mais qu’est-ce qu’un « risque élevé » ?
Pensez à des situations où des informations financières ou médicales pourraient être exposées.
Ne serait-il pas alarmant si vos données médicales tombaient entre de mauvaises mains ?
2. Contenu de l’annonce :
Lorsque vous informez le PFPDT, assurez-vous d’inclure la nature de la violation, ses conséquences et les mesures que vous avez prises ou envisagez de prendre.
C’est un peu comme aller chez le médecin : vous décrivez les symptômes, les conséquences possibles et les remèdes envisagés.
3. Sous-traitants :
Si vous faites appel à des sous-traitants et qu’ils détectent une violation, ils doivent vous en informer sans délai.
C’est une chaîne de responsabilité qui assure que tout le monde est sur la même longueur d’onde.
4. Informer la personne concernée :
Si la violation est suffisamment grave, vous devez également en informer la personne dont les données ont été compromises. C’est une question de transparence et de respect.
5. Exceptions :
Il y a des moments où vous pourriez ne pas avoir à informer la personne concernée. Par exemple, si cela compromet une enquête en cours ou si l’effort pour informer chaque individu est trop grand. Cependant, une communication publique pourrait suffire dans certains cas.