La panne informatique mondiale générée par la mise à jour CrowdStrike a provoqué des violations du RGPD. L’Autorité italienne lance une enquête pour connaître et évaluer les conséquences du blocage.
Sur la base des notifications qui lui ont été adressées, l’Autorité italienne de protection des données (GPDP) vient d’ouvrir des enquêtes « sur les conséquences que la récente panne des systèmes informatiques a pu avoir sur les données personnelles des utilisateurs, notamment dans l’utilisation des services publics« . La panne mondiale a pu entrainer des violations du RGPD.
En effet, plusieurs entreprises ou hôpitaux par exemple pourraient avoir enfreint le RGPD. « Certaines personnes n’ont peut-être pas pu accéder à leurs données personnelles, par exemple dans le secteur médical ou le transport. Il s’agit d’une violation se produisant de manière non intentionnelle, qui a pu avoir pour conséquence de compromettre la disponibilité et l’intégrité des données personnelles, tel que défini dans le RGPD« , explique Pascal Le Claire, expert en cybersécurité et DPO du cabinet Cumhal.
Les articles 33 et 34 du RGPD indiquent l’obligation de déclaration de violations. « Il faut noter que, s’agissant des données à caractère personnel éventuellement concernées, une évaluation de l’impact sur la disponibilité doit être mise en œuvre dans le cadre du RGPD pour envisager ou non la déclaration de l’incident auprès des autorités concernées (la CNIL en France). On peut supposer que, dans beaucoup de cas, la disponibilité n’aura pas entraîné d’impact majeur empêchant le respect des droits des personnes. Toutefois, cela dépendra de la durée de remise en service des systèmes« , explique sur son blog personnel Eric Freyssinet, conseiller senior au Commandement du ministère de l’Intérieur dans le cyberespace.
Les études d’impacts permettent de déterminer si la déclaration est nécessaire
La réalisation d’une étude d’impact est alors nécessaire pour déterminer si le seuil exigeant une déclaration auprès des autorités compétentes a été atteint. Le responsable de traitement qui a subi la panne doit alors évaluer plusieurs éléments tels que le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données), la nature, la sensibilité et le volume des données personnelles concernées, les conséquences possibles pour les personnes, et les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.).
La durée de remise en route est également à prendre en compte car le manque d’accès de courte durée ne constitue pas une violation. Chaque responsable de traitement doit donc mesurer si le traitement des données personnelles a été perturbé et entraîne un préjudice ou une privation de droits. Par ailleurs, il convient de rappeler que CrowdStrike est un fournisseur ou sous-traitant au sens du RGPD, et c’est bien au responsable de traitement de faire le nécessaire.
Patrice Remeur
