| Sur le site Internet de nicematin.com on peut lire : « Cette mairie varoise victime d’une cyberattaque risque une amende de 10 millions d’euros » et encore, la liste de risques tous aussi effrayants les uns que les autres est longue. Je n’ai pas pu me retenir de réagir à ce que je considère un ramassis de bêtises.
On peut d’abord lire en tête d’article : « Depuis jeudi dernier, la mairie de la Croix-Valmer est victime d’un virus qui crypte ses données. Et avec le renforcement de la loi protégeant les données personnelles, l’amende pourrait être salée ».
Quelqu’un peut m’expliquer le rapport entre être victime d’un cryptovirus et RGPD ?
On peut lire un peu plus loin :
« L’amende de la CNIL (Commission nationale de l’informatique et des libertés, NDLR) pour un défaut de sécurité concernant les données personnelles peut désormais atteindre un montant de 2% du chiffre d’affaires mondial pour une entreprise ou 10 millions d’euros maximum » nous explique Frédéric Lionetti expert cybersécurité, au cabinet Aerial. »
Pour rappel, la victime d’un cryptovirus voit ses données chiffrées et donc devenues illisibles et inutilisables. Les données ainsi modifiées sont anonymisées, ne sont plus des données à caractère personnel et donc ne sont plus soumises au RGPD.
Comment la CNIL pourrait sanctionner un organisme en raison du fait qu’il ne dispose plus de données à caractère personnel ?
Pour un manquement à l’obligation de sécurité mentionnée dans l’article 32 du RGPD ?
Rappel Article 32 : Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
Le RGPD conseille le chiffrement
Encore faut-il prouver qu’une personne non autorisée ou non habilitée a eu accès aux données. Dans le cas d’un cryptovirus, il ne s’agit pas d’une personne qui a pu accéder aux données mais un programme informatique (certes malveillant).
Bouquet final, l’article se termine par :
« L’apparition d’affaires similaires pourraient se multiplier. En effet, avant la RGPD, personne n’était obligé de déclarer les attaques informatiques. Aujourd’hui, la CNIL oblige de communiquer toutes les fuites de données personnelles, comme c’est le cas depuis plusieurs années aux Etats-Unis. »
L’attaque par cryptovirus et la fuite de données sont 2 choses différentes. Si la fuite de données n’a pas été prouvée, les victimes n’ont donc aucune déclaration de violation de données à effectuer à la CNIL.
Reste l’approche par l’impact pour les personnes concernées ?
Impossible d’apporter de service au citoyens ?
C’est le rôle des sauvegardes de pallier à cette carence et une fois de plus, si les sauvegardes n’ont pas fonctionné ou se sont aussi faîtes crypter, autant tout de suite changer d’informaticien et porter plainte contre celui qui n’a pas respecté les règles de l’art en matière de disponibilité des données. A sa place, je trouverai vite une solution pour récupérer les données et les réparer à mes frais…
A mon avis, cette Mairie ne risque rien de la part de la CNIL.
Ces avis n’engagent que moi. N’hésitez pas à réagir pour me donner votre avis.
Réagissez à cet article
|
