Les cyberattaques (ou leur risque) sont une réalité pour toutes les entreprises, TPEs comme grands groupes. Et, dès lors que toutes les entreprises collectent et traitent des données à caractère personnel, ne serait-ce que celles concernant leurs employés, il est évident qu’une quantité importante des atteintes à leurs systèmes d’information constitueront des violations de données à caractère personnel au sens du Règlement Général sur la Protection des Données (RGPD).
Là où la qualification d’une violation de données à caractère personnel au cours d’une attaque ne suscite pas, en elle-même, de difficulté particulière, de même pour la détermination de l’existence d’un risque pour les droits et libertés d’une personne physique – de sorte qu’une entreprise arrivera rapidement à déterminer s’il y a lieu de notifier l’autorité de contrôle au titre de l’article 33 du RGPD -, il est moins aisé de déterminer, prima facie, ce que constitue une “violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique” au sens de l’article 34 du même texte.
Le yin et le yang du “risque élevé pour les droits et libertés d’une personne physique”
A la lecture du RGPD, l’on comprend que la juste capacité à reconnaître et qualifier le caractère élevé du risque pour les “droits et libertés d’une personne physique” est cruciale en matière de cybersécurité et de gestion des cas de cyberattaques. En effet, la contrainte qui pèse sur l’entreprise responsable de traitement est double et vient à la fois d’en haut et d’en bas.
Elle vient d’en bas tout d’abord, car en cas de risque élevé d’atteinte aux droits et libertés, l’article 34.1 du RGPD impose au responsable de traitement une obligation de communication aux personnes concernées pour les informer du fait que leurs données personnelles ont été compromises. Pour rappel, l’article 34.1 du RGPD dispose que :
Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
Ainsi, et abstraction faite des cas d’exclusion prévus à l’article 34.3 du RGPD, l’exécution de l’obligation de notification aux individus touchés par la violation entrainera vraisemblablement des coûts pour l’entreprise à la fois au titre de l’envoi de la notification elle-même (ex. envoi de courriers si les adresses email ne sont pas disponibles) mais également au titre de l’atteinte à son image qu’elle subira et des frais qu’elle mettra en oeuvre pour limiter les dégâts (agence de communication, etc.). Il ne s’agit donc pas d’avoir la qualification légère, sous peine de se lancer dans une notification non nécessaire.
Mais la contrainte vient également d’en haut car manquer de procéder à la communication aux personne concernées de la violation de leurs données à caractère personnel ouvre la possibilité que l’entreprise responsable de traitement fasse l’objet d’une amende administrative au titre de l’article 83.4.a du RGPD. Ainsi cet article prévoit-il que :
Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;
Le montant le plus élevé entre 10.000.000 euros ou 2% du chiffre d’affaires annuel mondial total (l’on pourrait également ajouter “intégral, absolu, complet et tout compte fait”), la note peut être salée. Partant, il ne s’agit pas d’avoir la qualification trop exigeante, sous peine de se voir sanctionner.
Formuler le calcul du “risque élevé pour les droits et libertés d’une personne physique”
Les articles de la section 2 du RGPD ne sont guère heuristiques à l’heure de donner de la substance à la notion de “risque élevé pour les droits et libertés d’une personne physique” en cas de violation de données à caractère personnel. L’article 4 du RPGD, reprenant les définitions clefs du texte, ne l’est pas non plus. C’est en réalité dans les considérants qu’il faut chercher de quoi se mettre sous la dent, en particulier le 75ème dont les termes illustrent par le menu les conséquences négatives qui peuvent advenir en cas de violation :
Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
A noter que l’on retrouve également certains éléments de cette liste au considérant 85.
A la suite de cette liste se trouve utilement une méthode de calcul du risque, au considérant 76:
Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. […]
L’on comprend donc que le risque doit être apprécié au regard de deux variables sur lesquels il convient de s’arrêter : sa probabilité d’une part et sa gravité d’autre part.
La probabilité du “risque […] pour les droits et libertés d’une personne physique”
Pour ce qui concerne la probabilité, il faut admettre que le texte n’est pas des plus clairs. En effet, parler de “probabilité de risque” est tautologique car le risque renvoie par lui même à l’idée d’un événement possible qui n’est pas encore intervenu. Si l’on s’en tient donc à une lecture littérale, il conviendrait d’évaluer une probabilité de probabilité, ce qui ne nous avance que trop peu. Il faut donc y préférer une lecture téléologique, laquelle invite à considérer la probabilité que des conséquences négatives se produisent à la suite de la violation de données à caractère personnel, ces conséquences négatives pouvant être notamment celles qui se trouvent au considérant 75.
Il convient également, sur cet aspect, de relever que la notion de probabilité du “risque” au titre d’une violation de données se distingue de celle réalisée au titre de l’analyse d’impact sur la vie privée (DPIA), imposée dans certains cas par l’article 35 du RGPD. En effet, et ainsi que le relève le G29 dans ses lignes directrices sur la notification en cas de violation de données à caractère personnel, la probabilité du “risque” au stade du DPIA implique à la fois d’évaluer la malchance qu’un traitement de données à caractère personnel donne lieu à une violation ET les conséquences négatives qu’une telle violation pourrait induire. Or, par principe, dans le cas discuté, la violation est déjà intervenue, donc il ne faut bien qu’apprécier la probabilité des conséquences négatives.
Cela étant posé, quels sont les éléments pouvant moduler la probabilité qu’une conséquence négative de violation se produise ?
La matrice qui suit tente de regrouper les différents facteurs pouvant moduler la probabilité qu’une conséquence négative intervienne indépendamment de sa gravité et de les systématiser.
Le considérant 76 du RGPD, ci-dessus reproduit, indique que les conséquences négatives d’une violation de données à caractère personnel sont également à évaluer en fonction “de la nature, de la portée, du contexte et des finalités du traitement“. Cependant, il convient de prendre ces indications avec une certaine quantité de recul, et ne pas les considérer comme étant limitatives ou exhaustives. En effet, le considérant 76 est un considérant “DPIA” et non un considérant “violation de données à caractère personnel”, ces derniers se trouvant aux considérants 85 et suivants. C’est ainsi que, pour les besoins de l’évaluation de la probabilité qu’une conséquence négative se produise, certains des critères ne sont pas nécessairement pertinents. C’est notamment le cas des critères de portée et de finalité de traitement. De même, le considérant 76 ne mentionne pas certains critères alors qu’ils ont leur importance, comme par exemple en cas de cyberattaque, la nature de l’attaque, l’exploitabilité des données ou le coût d’identification des personnes concernées.
En revanche, le critère du contexte est d’une importance cruciale. En effet, il est possible que les circonstances d’une cyberattaque apportent des informations supplémentaires à côté de celles contenues dans les données, des méta-informations, lesquelles doivent être prises en compte dans l’appréciation de la probabilité des conséquences négatives. Ainsi, la divulgation d’une simple liste d’adresses, prise en elle-même, ne peut donner lieu à la production d’une conséquence négative car l’on ne peut en tirer aucune information exploitable. En revanche, la compromission d’une liste d’adresses de clients, même non identifiés, d’un centre de cancérologie est une autre paire de manche. La circonstance selon laquelle les données proviennent du fichier client d’un tel centre rend la liste d’adresses, initialement inexploitable, exploitable et accroît donc la probabilité de conséquences négatives de la violation de données à caractère personnel.
La gravité du “risque […] pour les droits et libertés d’une personne physique”
Pour ce qui concerne la gravité, en mentionnant les “dommages physiques, matériels ou [le] préjudice moral“, le considérant 75 invite à s’interroger sur la nature des valeurs qui peuvent potentiellement être atteintes à la suite de la compromission des données. En parallèle de cette réflexion, le considérant 76, impose de moduler cette appréciation des valeurs atteintes en fonction de l’ampleur de la violation de données à caractère personnel à la suite de la cyberattaque subie.
Les valeurs protégées compromises par le “risque […] pour les droits et libertés d’une personne physique”
Déjà, une première observation peut être émise, à savoir que tous les types de dommages précités ne doivent pas être pondérés de la même manière à l’heure d’apprécier la gravité d’une violation de données à caractère personnel. En effet, le dommage physique doit se voir accorder une place à part, en ce que la valeur protégée sous jacente, l’intégrité physique, reposant sur le principe de l’inviolabilité du corps humain, occupe systématiquement un rang supérieur dans l’ordre juridictionnel de l’Union Européenne, de ses Etats Membres, et du Conseil de l’Europe. Partant, lorsque qu’une violation de données à caractère personnel est susceptible de donner lieu à une atteinte à l’intégrité physique, quelle qu’elle soit, il y a lieu de considérer que les conséquences négatives de la violation seront très souvent d’une particulière gravité. L’on peut ainsi énumérer les exemples à l’envi : chiffrement d’une liste des groupes sanguins des patients d’un hôpital, suppression de l’historique de prise de médicaments pour une application mobile de suivi e-santé, etc.
Une seconde observation peut être faite concernant la notion de dommage “matériel”. Il est évident que celle-ci vise les dommages pécuniaires qui peuvent entraîner des pertes de sommes d’argent pour les personnes dont les données sont compromises au cours d’une cyberattaque, comme par exemple l’aspiration d’informations bancaires, la revente desquelles est monnaie courante sur le darkweb. Mais il faut comprendre le terme “matériel” également dans un sens et une acception plus large. En effet, il convient d’y inclure tous les cas où les personnes concernées pourraient être privées de la faculté de faire valoir un droit, que sa source soit légale ou contractuelle, ou être restreintes dans l’exercice d’une liberté. Pour ce qui concerne le premier cas, l’on peut penser, à titre illustratif, au chiffrement de la liste des demandes d’asile en cours ou bien à la suppression d’une liste de commandes devant être envoyées à des clients pour un site de e-commerce. Pour ce qui concerne le deuxième cas, il est vraisemblable que la liberté concernée doit être reconnue dans l’ordre juridique de l’Union Européenne ou de l’Etat Membre des personnes concernées. L’on cherchera ainsi, en priorité, les libertés fondamentales, comme la liberté d’expression (ex : suppression de publications en ligne sur un site internet) ou la liberté d’association (ex : altération des fichiers du registre du commerce et des sociétés).
Enfin, pour ce qui concerne le dernier type de préjudice envisageable, le préjudice “moral”, l’on y rangera le reste des préjudices possibles, de nature plus intangibles, avec, à titre principal les atteintes de type réputationnel ou susceptibles de placer les personnes concernées dans des situations de souffrances psychologique ou humiliantes. Rappelons à titre d’exemple l’affaire de 2015 ayant donné lieu à la compromission des comptes d’utilisateurs du site internet de rencontres extraconjugales Ashley Madison. Les hackers à l’origine de l’aspiration de données ayant in fine publié des informations sur l’identité de 32 millions de ces derniers, donnant ainsi lieu à de graves répercussions, relationnelles bien sûr, mais également professionnelles.
Pour s’aider dans l’appréciation de la gravité du risque envisagé par une cyberattaque compromettant des données à caractère personnel, et en parallèle identifier les valeurs étant susceptibles de subir une atteinte, les finalités des traitements compromis, sans pour autant donner des indications exhaustives, peuvent être d’un intérêt particulier. Dans cette perspective, la compromission d’un traitement ayant pour finalité la constitution d’un fichier des adresses des employés d’une entreprise aura, prima facie, moins de chance d’entraîner une atteinte grave pour les droits et libertés de ces derniers (atteinte potentielle à la vie privée) que la compromission d’un traitement dont la finalité serait la constitution d’un répertoire des patients en attente de recevoir un don d’organes (atteinte potentielle à l’intégrité physique).
Ainsi, sans pour autant créer une hiérarchie stricte entre les différents types de dommages et les valeurs sous-jacentes qu’ils atteignent – un dommage à la réputation pouvant très bien être plus important qu’une atteinte physique – du fait de la place particulière de ce dernier, il conviendra de qualifier plus facilement un “risque élevé pour les droits et libertés d’une personne physique” lorsqu’il en est question.
La modulation de la gravité du “risque […] pour les droits et libertés d’une personne physique”
Comme il l’a été rappelé plus haut, le considérant 76 du RGPD indique que la modulation de l’appréciation de la gravité du “risque” pour les droits et libertés d’une personne physique en cas de violation de données à caractère personnel doit se faire au regard de la nature, de la portée, du contexte et de la finalité du traitement compromis.
Une nécessaire circonvolution linguistique
A titre liminaire, il convient de relever une difficulté notable que pose le RGPD… en sa version française. En effet, alors que l’article 33 telle que traduite dans la langue de Molière impose au responsable de traitement de notifier l’autorité de contrôle en cas de violation de données à caractère personnel de nature à engendrer un risque “pour les droits et libertés des personnes physiques”, l’article 34 quant à lui, impose au responsable de traitement de communiquer à une personnes concernée affectée par une violation de données à caractère personnel lorsque ladite violation est de nature à engendrer un “risque élevé pour les droits et libertés d’une personne physique”. Cependant, les versions étrangères n’effectuent pas cette distinction de sorte qu’il est toujours question, d’un article à l’autre, d’apprécier le risque ou le risque élevé à l’aune “de las personas físicas” pour la langue de Calderón ou des “natural persons” pour la langue de Shakespeare.
Loin d’être un détail, cette divergence est déterminante pour identifier la méthodologie d’appréciation de la gravité du risque. En effet, s’il s’agit d’apprécier un risque élevé pour “les personnes physiques”, le responsable de traitement pourrait se limiter à une analyse globale des conséquences négatives en cas de pluralité de personnes affectées par une violation de données à caractère personnel. En revanche, s’il est question d’apprécier un risque élevé pour “une personne physique”, le responsable de traitement devrait se livrer à un exercice de casuistique en vérifiant, au cas par cas et individuellement, si une personne physique affectée parmi une masse de personnes physiques affectées n’est pas susceptible de subir des conséquences négatives plus sérieuses que les autres.
Maintenant, et la question est à 1000 points, que faire?
Dès lors qu’une violation de données à caractère personnel affecte bien souvent une grande quantité de personnes physiques, il est vraisemblable qu’une analyse individuelle des conséquences négatives potentielles serait bien trop coûteuse pour les responsables de traitement et le G29, dans ses lignes directrices sur la notification en cas de violation de données à caractère personnel, se fonde sur la version anglaise du RGPD et mentionne spécifiquement que l’appréciation doit être faite à l’aune “des personnes physiques” dans leur ensemble. Ainsi conviendra-t-on que le responsable de traitement devra effectuer une analyse globale de la gravité du risque et qu’il ne faut pas se tenir à la lettre de la version française du RGPD. Mais cela ne veut cependant pas dire que le responsable de traitement ne sera pas tenu de ventiler son appréciation des conséquences négatives probables en fonction de différents critères lorsqu’une violation de données à caractère personnel n’affectera pas les personnes physiques de la même manière (par exemple lorsque la violation concerne des personnes physiques qui disposent d’une qualité différente ou lorsque les données compromises ne sont pas les mêmes pour toutes les personnes physiques affectées).
Les facteurs de la gravité du “risque […] pour les droits et libertés d’une personne physique”
De même que pour l’évaluation de la probabilité du “risque”/conséquence négative induit(e) par une violation de données à caractère personnel, l’évaluation de sa gravité requiert de ne pas se limiter aux seuls critères de nature, contexte, portée, finalité du traitement. Aussi cette deuxième matrice tente-t-elle de regrouper d’autres critères plus pertinents à cette fin.
De même que pour l’évaluation de la probabilité du “risque” pour les droits et libertés d’une personne physique, le contexte du traitement compromis est susceptible de grandement influer sur celle de la gravité du “risque”. A titre d’illustration, l’on appréciera intellectuellement la différence entre la gravité de la divulgation d’un fichier client d’un site de e-commerce vendant et distribuant des livres et celle d’un fichier client provenant d’un site de e-commerce vendant et distribuant des produits érotiques de niche.
En définitive, la qualification de “risque élevé pour les droits et libertés d’une personne physique” n’est pas une mince affaire et nécessite de prendre un compte un très grand nombre de facteurs. Les considérations précédentes ne traitent sûrement pas exhaustivement des différents critères possibles pour le faire mais à tout le moins permettent-elles d’aborder le problème avec une certaine structure. Il est souvent d’usage, en matière de cybersécurité, de dire qu’il ne faut jamais se poser la question de savoir si une cyberattaque est possible mais plutôt quand est-ce que celle-ci interviendra, tant les menaces sont multiples et les systèmes d’information tous vulnérables. Aussi est-il important de d’établir, à titre préventif, une méthodologie d’évaluation pour mettre les meilleures chances de son côté pour qualifier l’existence (ou l’absence) de “risque élevé”, et cela en toute sérénité, à la Van Damme.
Mathias