Quand devez-vous notifier la violation de données ?
Quels sont les moyens d’action sur le plan pénal ?
Contre qui et comment vous retourner sur le plan civil ?
Que prévoir pour être préparé ?
par Fanny COTON et Pauline LIMBREE
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, Trade secrets, Criminal Law) ?
1. Comment bien réagir en cas de violation de
données
(GDPR, NIS, Trade secrets, Criminal Law)?
Fanny COTON - Lexing
Pauline LIMBREE- Lexing
2. www.earlegal.beGroupe Larcier / Lexing
Présentation et logistique
Présentation co-organisée par Groupe Larcier et Lexing Belgium
à Bruxelles et à Liège
La présentation vous est envoyée par courriel
Les vidéos sont disponibles en ligne quelques semaines plus
tard : https://creactivity.lexing.be/earlegal/
Un fil rouge
Quatre questions
2
3. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• les serveurs subissent une attaque
• les listing des patients sont publiés
en ligne.
Un hôpital
- 3600
travailleurs
- 50 000 patients
en hôpital de
jour/an
4. www.earlegal.beGroupe Larcier / Lexing
Programme
Quand devez-vous notifier la violation de données?
Quels sont les moyens d’action sur le plan pénal?
Contre qui et comment vous retourner sur le plan
civil ?
Que prévoir pour être préparé?
4
9. www.earlegal.beGroupe Larcier / Lexing
Toute information se
rapportant à une personne
physique identifiée ou
identifiable
Ex : nom, numéro
d'identification, données de
localisation, plaque
d’immatriculation,
identifiant en ligne, adresse
IP, résultats médicaux, e-
mails, affiliations.
RGPD : si donnée à caractère personnel
10. www.earlegal.beGroupe Larcier / Lexing
RGPD
10
• Obligation ou non de notifier?
Si risque pour les droits et libertés des personnes physiques
Guide : lignes directrices 250.rev01 du CEPD (ancien groupe 29)
• Respect délai 72 h
APD
(si risque)
(si risque ELEVE)
11. www.earlegal.beGroupe Larcier / Lexing
A qui notifier en cas de répercussions dans
plusieurs États membres ?
A l'autorité de contrôle chef de file
principal établissement du RT
concernant ce traitement
Traitement sur la base d’une obligation
légale ou mission d’intérêt public :
uniquement l’autorité de contrôle de l’Etat
qui prévoit ce traitement
12. www.earlegal.beGroupe Larcier / Lexing
Directive NIS et le projet de loi belge
12
CSIRT national
Autorité
sectorielle/CSIRT
sectoriel
CCB
Opérateur de services essentiels Fournisseur de service numérique
Sans retard
Incident ayant un impact significatif sur la
disponibilité, la confidentialité, l’intégrité ou
l’authenticité des réseaux et des services
Incident ayant un impact négatif sur la fourniture
d’un service fixé par l’annexe II
Obligation même si l’opérateur ne dispose que d’une
partie des informations pertinentes pour évaluer le
caractère significatif de l’impact de l’incident
Obligation? Seulement si fournisseur a accès aux
informations nécessaires pour évaluer l’impact de
l’incident
13. www.earlegal.beGroupe Larcier / Lexing
Loi « communications électroniques »
13
• Obligation de notifier
• Sans délai
• APD informe l’IBPT si l’entreprise ne respecte pas cette obligation de
notification
• Information à l’abonné: nature de la violation, points de contact où
trouver les informations,
• Tenir un inventaire des violations
APD
IBPT
Abonné/particulier (si
affecte négativement ses
données à caractère
personnel ou sa vie privée
(seuil moins élevé que RGPD)
14. www.earlegal.beGroupe Larcier / Lexing
Récapitulatif
14
RGPD NIS Communications
72 h Sans retard Sans délai
Si risque : À l’APD
Si impact significatif/négatif :
- au CSIRT national;
- à l’autorité sectorielle ou à
son CSIRT sectoriel
- au CCB
À l’APD (qui avertit l’IBPT)
Si risque élevé : aux personnes
concernées /
Si affecte négativement vie
privée ou DCP :
au particulier
Sanctions administratives et
pénales
Sanctions administratives ou
pénales /
Formulaire en ligne sur site
APD
Plate- forme de notification (qui
doit encore être créée)
APD informe l’IBPT
16. Groupe Larcier / Lexing www.earlegal.be
Quels sont les moyens d’action
sur le plan pénal ?
16
17. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
•Des essais cliniques ont été volés
•Un ancien membre du personnel
est soupçonné
•Il démarche un nouvel
employeur
Hôpital
18. www.earlegal.beGroupe Larcier / Lexing 18
Au pénal Au civil
Action contre une
personne identifiée
Action contre X
Action contre une
personne identifiée
Action contre X
19. www.earlegal.beGroupe Larcier / Lexing
Violation de données : quelles infractions?
19
Hacking
interne
Hacking
externe
Sabotage
Faux en
écritures
Faux
informati
que
Fraude
informati
que
Extorsion Abus de
confiance
Vol
21. www.earlegal.beGroupe Larcier / Lexing
Dépôt de plainte
Zone de police compétente
à Liège : commissariat Natalis
Informations à fournir :
Type de SI contaminé?
Système d’exploitation du SI?
Présence antivirus?
Propriétaire du SI?
Mode de contamination?
Etc.
Selon type d’attaque, transmission à la
RCCU/FCCU
21
24. Groupe Larcier / Lexing www.earlegal.be24
Contre qui et comment vous
retourner sur le plan civil ?
25. www.earlegal.beGroupe Larcier / Lexing
Mesures d’urgence / Action au fond
25
Action en cessation
Sur base de la
violation d’un secret
d’affaires
Référé
Mesures
provisoires
Contre tiers :
Hébergeur,
Moteur de recherche
(déréférencement)…
Possibilité de
réparation
26. www.earlegal.beGroupe Larcier / Lexing
Violation de données = violation du secrets d’affaires ?
Conditions cumulatives :
Informations secrètes,
valeur commerciale parce qu'elles sont
secrètes,
dispositions raisonnables destinées à les
garder secrètes (ex : clauses contrat)
Exemples de secret d’affaires contenant
des données à caractère personnel
• profils des consommateurs
• informations relatives aux clients et aux fournisseurs
• Études cliniques
27. www.earlegal.beGroupe Larcier / Lexing
Au civil et au pénal : possibilité de réparation
27
Infraction
pénale
Faute civile
Dommage
Lien causal
Lien causal
Prouver
responsa
bilité
Prouver
$$$
28. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Hôpital
Vol d’essais
cliniques
Action en cessation contre
auteur et contre nouvel
employeur
Plainte pénale
Constitution d’un dossier pour
prouver le dommage
29. Groupe Larcier / Lexing www.earlegal.be29
Que prévoir pour être bien préparé?
30. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
•voudrait éviter
que cet incident se
reproduise
Hôpital
Victime d’une
violation de
données
31. www.earlegal.beGroupe Larcier / Lexing
Personnel :
Obligation légale de confidentialité
• Art. 309 de Code Pénal (secrets de fabrique)
• Article 17 de loi sur le contrat de travail
Clause de confidentialité souhaitable:
Nécessaire si sous-traitant (art. 28 RGPD)
Attire l’attention du travailleur.
Permet d’énumérer ce qui est considéré comme secret
Indemnité forfaitaire possible
Démontrer en justice que c’est un secret d’affaires
32. www.earlegal.beGroupe Larcier / Lexing
Dans les contrats
32
Relations avec ses employés
Relations avec ses sous-
traitants
Délimiter la mission
Obligation de
confidentialité
(couvert lorsque sous-
traitant)
• DACP
• Secret d’affaires (pas
nécessaire de prévoir
clause de non-
concurrence
Délimiter la mission
Clauses RGPD (art. 28)
(contient une obligation de
confidentialité)
À préciser:
• Délai pour notifier une
violation;
• modalités de l’audit;
• …
Forfaitiser le dommage
Exigence d’assurance
Forfaitiser pénalité
Restitution du matériel à la fin
du contrat
34. www.earlegal.beGroupe Larcier / Lexing
Sécurité au quotidien
• Contrôler les accès
• Culture du secret (entre départements)
• Règlement travail (BYOD, …)
• Écrans de rappels (fuite malintentionnée…)
• Entretien de départ (remettre badges d’accès,
documents, fichiers…)
• Mettre réellement en œuvre les clauses:
réaliser les audits
35. www.earlegal.beGroupe Larcier / Lexing
Préparé pour réagir vite
Procédure à mettre en place :
Constitution d’une équipe de garde
pour réagir
Listing des réflexes à adopter,
Documentation à jour (registre,
analyses d’impact)
Maîtrise du formulaire et des
critères à appliquer
35
36. www.earlegal.beGroupe Larcier / Lexing
Formation
Conséquences d’une violation de
données
En cas de doute sur un e-mail :
Procédure mise en place
Simulation d’une brèche de sécurité
Simulation d’une « descente » de
l’Autorité de Protection des
Données
37. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Hôpital
Organise des sessions de
sensibilisation
Insère les clauses ad hoc
dans les contrats
Constitution d’une
équipe de garde pour
réagir
Nis
Article 24 et Article 35 projet de loi du
! Plate forme NIS : pourra permettre aux fournisseurs de service numérique de notifier violations DACP aux autorités de contrôle
Centre national de réponse aux incidents de sécurité informatique
Avertir l’abonné si de nature à affecter négativement les données
ETABLISSEMENT PRINCIPAL : établissement dans l'UE où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données; si aucune décision de ce type n’est prise dans l’Union, le lieu où sont exercées les principales activités de traitement dans le cadre des activités d’un établissement d’un RT dans l’UE
coopération des aut. nat.
parvenir à un consensus
positif pour les entreprises
Projet de loi établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, 12 novembre 2018, DOC 54 3340/001
CSIRT : Computer Security Incidence Response Team. (centre national de réponse aux
incidents de sécurité informatique)
- Liste de OSE
Identification des OSE par les EM au plus tard pour le 9/11/2018
En Belgique : projet de loi définit OSE : une entité publique ou privée active en Belgique:
dans l’un des secteurs repris à l’annexe I de la loi (Établissements de soins de santé (y compris les hôpitaux et les cliniques privées),
qui répond aux critères visés à l’article 12, § 1er,
et qui est désignée comme telle par l’autorité sectorielle;
l'identification des OSE par l'autorité sectorielle, en concertation avec le CCB et le Centre de crise, dans les limites de leurs compétences respectives
violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier
La notification d'une violation des données à caractère personnel à l'abonné ou au particulier concerné n'est pas nécessaire si l'entreprise fournissant des services de communications électroniques accessibles au public a prouvé, à la satisfaction de l'Institut, qu'elle a mis en oeuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation
Les entreprises fournissant des services de communications électroniques accessibles au public tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, [2 de sorte que la Commission de la protection de la vie privée et l'Institut puissent vérifier le respect des dispositions du paragraphe 3]2. Cet inventaire comporte uniquement les informations nécessaires à cette fin.]1
Nis
Article 24 et Article 35 projet de loi du
! Plate forme NIS : pourra permettre aux fournisseurs de service numérique de notifier violations DACP aux autorités de contrôle
Centre national de réponse aux incidents de sécurité informatique
Avertir l’abonné si de nature à affecter négativement les données
Aucune sanction pénale prévue
Identification des OSE par les EM au plus tard pour le 9/11/2018
En Belgique : projet de loi définit OSE : une entité publique ou privée active en Belgique:
dans l’un des secteurs repris à l’annexe I de la loi (Établissements de soins de santé (y compris les hôpitaux et les cliniques privées),
qui répond aux critères visés à l’article 12, § 1er,
et qui est désignée comme telle par l’autorité sectorielle;
l'identification des OSE par l'autorité sectorielle, en concertation avec le CCB et le Centre de crise, dans les limites de leurs compétences respectives
Hacking interne (article 550bis du Code pénal)
Interdiction pour une personne d’outrepasser les droits d’accès qu’il détient au sein d’un système informatique
Exemple. Un employé d’une administration communale dépasse ses droits d’accès pour accéder aux données du registre national de son voisin
Hacking externe (article 550bis du Code pénal)
Interdiction pour un tiers d’accéder à un système informatique pour lequel il n’a aucun droit d’accès.
Exemple. Cas classique de la violation de données par un tiers
Sabotage (article 550ter du Code pénal)
Interdiction d’introduire, de modifier ou de supprimer des données dans un système informatique sans en avoir reçu l’autorisation
Exemple. Ransomware : données inaccessibles aussi longtemps que vous ne payez pas la somme d’argent demandée
Faux en écritures (article 210bis du Code pénal)
Altération de la vérité via de fausses signatures, la modification d’écritures existantes ou l’ajout de mentions après signature.
Exemple. Une personne utilise la signature électronique d’une autre afin d’obtenir certaines informations
Faux informatique (article 550bis du Code pénal)
Interdiction de falsifier un document par des manipulations de données informatiques pertinentes
Exemple. Faux mail, skimming
Fraude informatique (article 504quater du Code pénal)
Interdiction de tenter de tromper une machine
Exemple. Utilisation d’une carte d’identité d’un collègue pour accéder au registre national
Extorsion (article 470 du Code pénal)
Remise d’une chose sous l’emprise de la violence ou de la menace
Exemple. Ransomware : vos données sont bloquées jusqu’à ce que vous payez une somme d’argent (avec menace éventuelle de les divulguer publiquement)
Abus de confiance (article 491 du Code pénal)
Une personne, à laquelle une chose est préalablement remise, décide de se l’approprier afin d’obtenir un bénéfice illégal pour elle-même ou pour autrui.
Exemple. Hypothèse de sous-traitance : vous transmettez des données à votre sous-traitant qui, contrairement à vos instructions, les vend à des tiers
Vol (article 461 du Code pénal)
Soustraction frauduleuse d’une chose appartenant à autrui
Exemple. Vol d’une mallette contenant des documents confidentiels
Ne pas effacer les traces de l’attaque : demander à informaticien qui intervient de faire des back up etc avant de réparer
Nettoyage et Réparer
Déposer plainte : police locale vers RCCU
+ si vous êtes entreprises : possibilité de le signaler au Cert
+ si phishing
+ si fraude
4. Possibilité d’obtenir réparation du dommage
commissariat Natalis car réferend ICT
- déposer de plainte auprès du service de police territorialement compétent;
- Transmission éventuelle à Federal Computer Crime Unit, unité spécialisée dans la cybercriminalité.
- dossier traité par procureur (utile de connaitre l’identité afin d’obtenir des renseignements plus rapidement);
- Dépôt d’une plainte au nom d’une personne morale: procuration nécessaire
- Possibilité de dépôt de plainte avec constitution de partie civile auprès d’un juge d’instruction. (consignation d’une certaine somme d’argent au greffe = provision sur les frais de justice: remboursée personne suspectée est déclarée coupable)
Ne pas effacer les traces de l’attaque : demander à informaticien qui intervient de faire des back up etc avant de réparer
Nettoyage et Réparer
Déposer plainte : police locale vers RCCU
+ si vous êtes entreprises : possibilité de le signaler au Cert
+ si phishing
+ si fraude
4. Possibilité d’obtenir réparation du dommage
Action en cessation possible contre les travailleurs et le nouvel employeur, en cas de détournement de données confidentielles
violation de secret d’affaires
Action en réparation :
(ex. : dommage = taux des licences précédemment conclues X nombre de produits commercialisés).
« Le travailleur a l’obligation (…) de s’abstenir, tant au cours du contrat qu’après la cessation de celui-ci de divulguer les secrets de fabrication, ou d’affaires, ainsi que le secret de toute affaire à caractère personnel ou confidentiel dont il aurait eu connaissance dans l’exercice de son activité professionnelle »
MAIS aucune limitation à l'utilisation d'expériences et de compétences acquises de manière honnête dans l'exercice normal de leurs fonctions.
Clause de non-concurrence
La clause de non-concurrence est réputée inexistante dans les contrats de travail pour lesquels la rémunération annuelle ne dépasse pas33.221 EUR
33.221 EUR et 66.441 EUR ne peut s'appliquer qu'à des catégories de fonctions ou à des fonctions déterminées par convention collective de travail
Au dessus de 66441 non-concurrence peut validement figurer dans les contrats de travail, sauf pour les catégories de fonctions ou les fonctions exclues par convention collective de travail
La validité de toute clause de non-concurrence est en outre subordonnée aux conditions suivantes : 1° elle doit se rapporter à des activités similaires; 2° elle doit être géographiquement limitée aux lieux où l'ouvrier peut faire une concurrence réelle à l'employeur, en considérant la nature de l'entreprise et son rayon d'action. Elle ne peut en aucun cas s'étendre au-delà du territoire national; 3° elle ne peut excéder douze mois à partir du jour où les relations de travail ont pris fin; 4° elle doit prévoir le paiement d'une indemnité compensatoire unique et de caractère forfaitaire par l'employeur, sauf si ce dernier renonce dans un délai de quinze jours à partir du moment de la cessation du contrat à l'application effective de la clause de non-concurrence. Le montant minimal de cette indemnité est égal à la moitié de la rémunération brute de l'ouvrier correspondant à la durée d'application effective de la clause. La base de ce montant est constituée par la rémunération brute de l'ouvrier payée au cours du mois qui précède le jour de la cessation du contrat. Pour les ouvriers ayant une rémunération totalement ou partiellement variable, ce montant est calculé, pour la partie variable, sur la moyenne de la rémunération brute des douze mois qui précèdent le jour de la cessation du contrat. Sous peine de nullité, la clause doit être constatée par un écrit déterminant les modalités d'application des conditions énoncées ci-dessus. Les commissions ou les sous-commissions paritaires peuvent préciser ces modalités selon les conditions propres aux divers secteurs d'activité. La clause conforme aux dispositions du présent article ne produit pas ses effets s'il est mis fin au contrat, soit [1 durant les six premiers mois à partir du début du contrat]1, soit après cette période par l'employeur sans motif grave, ou par l'ouvrier pour motif grave. En cas de violation de la clause de non-concurrence par l'ouvrier, ce dernier sera tenu de rembourser à l'employeur la somme que ce dernier aura payée, en application du principe énoncé au § 2, alinéa 5, 4°, du présent article et devra en outre lui payer une somme équivalente. Cependant, à la demande de l'ouvrier, le juge peut réduire le montant de l'indemnité fixée conventionnellement, en tenant compte notamment du dommage causé et de la durée réelle de la période pendant laquelle la clause a été respectée. Le juge peut également, à la demande de l'employeur, accorder une réparation supérieure, à charge de justifier de l'existence et de l'étendue du préjudice.
Aussi si on le vire
mis fin au contrat soit [1 durant les six premiers mois à partir du début du contrat]1, soit après cette période, par l'employeur sans motif grave
Représentants de commerce - subordonnée à la triple condition qu'elle se rapporte à des activités similaires, qu'elle n'excède pas douze mois et qu'elle se limite au territoire sur lequel le représentant de commerce exerce son activité.
Pour employés peut déroger la clause ne produit pas ses effets lorsqu'il est mis fin au contrat soit [1 durant les six premiers mois à partir du début du contrat]1, soit après cette période, par l'employeur sans motif grave
Ces clauses dérogatoires donnent droit au paiement d'une indemnité par l'employeur, sauf si ce dernier renonce à l'application effective de la clause de non-concurrence.
Les entreprises auxquelles cette clause dérogatoire peut s'appliquer sont celles qui répondent à une des deux ou aux deux conditions suivantes :
a) avoir un champ d'activité international ou des intérêts économiques, techniques ou financiers importants sur les marchés internationaux.
b) disposer d'un service de recherches propre.
Dans ces entreprises, la clause dérogatoire peut s'appliquer aux employés occupés à des travaux qui leur permettent, directement ou indirectement, d'acquérir une connaissance de pratiques particulières à l'entreprise, dont l'utilisation en dehors de l'entreprise peut être dommageable à cette dernière.
Hacking interne
Nombre limité de personnes qui connaissent le secret
Confier la responsabilité de la protection des secrets d'affaires à une équipe précise
Conscientisation des travailleurs qui sont en contact avec des informations confidentielles
Cloisonner l’information pas en mesure de reconstituer l’intégralité d’un procès industriel
Directives :
éviter que les commerciaux ne communiquent trop de données pour convaincre un client potentiel ;
éviter que les chercheurs internes ne publient des informations sensibles, même dans des publications scientifiques.
Identification des OSE par les EM au plus tard pour le 9/11/2018
En Belgique : projet de loi définit OSE : une entité publique ou privée active en Belgique:
dans l’un des secteurs repris à l’annexe I de la loi (Établissements de soins de santé (y compris les hôpitaux et les cliniques privées),
qui répond aux critères visés à l’article 12, § 1er,
et qui est désignée comme telle par l’autorité sectorielle;
l'identification des OSE par l'autorité sectorielle, en concertation avec le CCB et le Centre de crise, dans les limites de leurs compétences respectives