Une mairie victime d’un cryptovirus risque t-elle une amende de la CNIL ?

Depuis 2012, nous vous accompagnons dans votre mise en conformité avec la réglementation sur les données à caractère personnel (formations RGPD, formations de DPO et accompagnement à la mise en conformité RGPD de votre organisme) et depuis 1996 nous vous aidons à vous protéger des pirates informatiques.

Cette mairie varoise victime d'une cyberattaque risque une amende de 10 millions d'euros - Nice-Matin

Une mairie victime d’un cryptovirus risque t-elle une amende de la CNIL ? 


Sur le site Internet de nicematin.com on peut lire : « Cette mairie varoise victime d’une cyberattaque risque une amende de 10 millions d’euros » et encore, la liste de risques tous aussi effrayants les uns que les autres est longue. Je n’ai pas pu me retenir de réagir à ce que je considère un ramassis de bêtises.

 

 

On peut d’abord lire en tête d’article : « Depuis jeudi dernier, la mairie de la Croix-Valmer est victime d’un virus qui crypte ses données. Et avec le renforcement de la loi protégeant les données personnelles, l’amende pourrait être salée ».

Quelqu’un peut m’expliquer le rapport entre être victime d’un cryptovirus et RGPD

 

On peut lire un peu plus loin :

« L’amende de la CNIL (Commission nationale de l’informatique et des libertés, NDLR) pour un défaut de sécurité concernant les données personnelles peut désormais atteindre un montant de 2% du chiffre d’affaires mondial pour une entreprise ou 10 millions d’euros maximum” nous explique Frédéric Lionetti expert cybersécurité, au cabinet Aerial. »

 

Pour rappel, la victime d’un cryptovirus voit ses données chiffrées et donc devenues illisibles et inutilisables. Les données ainsi modifiées sont anonymisées, ne sont plus des données à caractère personnel et donc ne sont plus soumises au RGPD.

Comment la CNIL pourrait sanctionner un organisme en raison du fait qu’il ne dispose plus de données à caractère personnel ?

Pour un manquement à l’obligation de sécurité mentionnée dans l’article 32 du RGPD ?

Rappel Article 32  : Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;

Le RGPD conseille le chiffrement

Encore faut-il prouver qu’une personne non autorisée ou non habilitée a eu accès aux données. Dans le cas d’un cryptovirus, il ne s’agit pas d’une personne qui a pu accéder aux données mais un programme informatique (certes malveillant).

 

Bouquet final, l’article se termine par :

« L’apparition d’affaires similaires pourraient se multiplier. En effet, avant la RGPD, personne n’était obligé de déclarer les attaques informatiques. Aujourd’hui, la CNIL oblige de communiquer toutes les fuites de données personnelles, comme c’est le cas depuis plusieurs années aux Etats-Unis. »

L’attaque par cryptovirus et la fuite de données sont 2 choses différentes. Si la fuite de données n’a pas été prouvée, les victimes  n’ont donc aucune déclaration de violation de données à effectuer à la CNIL.

 

 

Reste l’approche par l’impact pour les personnes concernées ?

Impossible d’apporter de service au citoyens ?
C’est le rôle des sauvegardes de pallier à cette carence et une fois de plus, si les sauvegardes n’ont pas fonctionné ou se sont aussi faîtes crypter, autant tout de suite changer d’informaticien et porter plainte contre celui qui n’a pas respecté les règles de l’art en matière de disponibilité des données. A sa place, je trouverai vite une solution pour récupérer les données et les réparer à mes frais…

A mon avis, cette Mairie ne risque rien de la part de la CNIL.

Ces avis n’engagent que moi. N’hésitez pas à réagir pour me donner votre avis.

Réagissez à cet article

 

 

 

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)


Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

Nous animons des Formations sur le RGPD en individuel ou en groupe


 

Besoin d'un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d'une formation pour apprendre à vous
mettre en conformité avec le RGPD
  ?

Contactez-nous


Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock

Notre Expert, Denis JACOPINI est Expert de justice en informatique spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Denis JACOPINI a bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d'abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il m'est ainsi facile pour moi d'expliquer le coté pragmatique de la démarche de mise en conformité avec le RGPD.

« Mon objectif, vous transmettre mon savoir, vous dévoiler ma technique et mes outils car c'est bien ce qu'attendent les personnes qui font appel à nos services.  ».

 

Source : Cette mairie varoise victime d’une cyberattaque risque une amende de 10 millions d’euros – Nice-Matin

image_pdfimage_print

2 Commentaires

  1. Bernard Foray's Gravatar Bernard Foray
    7 août 2018    

    Bonjour Denis,
    Il n’y a pas que la confidentialité ou l’intégrité qui sont visées à l’article 32. Il y a aussi la disponibilité et notamment le considérant 49 précise “…des actions malveillantes qui compromettent la disponibilité…”.
    Avant de pouvoir dire si la mairie risque une amende, il reste à connaître l’impact sur le service rendu et le préjudice subi par les administrés/habitants. …et ce n’est certainement pas les journaux (parfois à la recherche de scoop) qui sont la bonne source d’information pour l’estimer.
    Bien à toi

  2. LE JEUNE's Gravatar LE JEUNE
    3 août 2018    

    Bonjour Monsieur JACOPINI, complètement d’accords avec vous. Merci de donner ce genre de témoignage car cela permet de démontrer que la RGPD n’est pas du tout un frein, bien au contaire.

    Cordialement,

    Jean-Marc LE JEUNE
    GIE ARTIC – Lisieux

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Accès direct aux Thèmes

Derniers articles


Le Net Expert - 1, les Magnolias - 84300 Cavaillon
Paris - Lille - Marseille - Avignon
Contactez-nous - Newsletter - Mentions légales
Connexion à distance