Business
Notification 101 : un Breakfast tonique pour faire face au RGPD

Quel est le but de cette procédure ? Que se passe-t-il quand la CNPD reçoit une notification de violation ? Quand et comment la CNPD prendra-t-elle des sanctions ? Ces questions étaient au menu du 23ème Cybersecurity Breakfast, ce vendredi 8 juin dans les locaux du C3.

Par la voix de sa présidente Tine A. Larsen, la CNPD a clarifié quelques points et brisé quelques mythes à propos de la GDPR :

• Un incident impliquant des données ne conduit pas systématiquement à des sanctions
• Une notification d’incident ne conduit pas nécessairement à une enquête
• La CNPD ne rend pas publics tous les incidents qui lui sont notifiés
• La notification ne doit pas se faire 72 heures après l’incident, mais 72 heures après sa découverte.

Par contre, en cas d’incident impliquant des données personnelles non notifié dans les délais, une enquête sera obligatoirement menée. En outre, le fait de ne pas avoir notifié un incident sera considéré comme une circonstance aggravante.

Le message de la CNPD était clair : il s’agit d’abord de dédramatiser la GDPR. « Nous ne sommes pas là pour faire mal aux entreprises, mais pour les aider à s’améliorer et à respecter leurs clients, partenaires, employés… Nous sommes totalement en ligne avec la stratégie nationale qui veut faire du Grand-Duché une Smart Nation », a expliqué Tine A. Larsen.

En clair, la foudre ne s’abattra pas sur les « coupables » dès le 1er incident constaté. La manière dont les incidents seront sanctionnés ou non dépendra fortement de l’honnêteté des responsables, du fait qu’ils ont mis des mesures de prévention en place et qu’ils recherchent activement des solutions pour protéger les intérêts de leurs clients.

Après les explications éclairantes de la CNPD, une table ronde a rassemblé 4 professionnels particulièrement actifs dans le domaine de la protection des données :

• Alain Herrmann – Head of Data Breach Unit and Certification Unit (CNPD)
• Gerard Wagener – CIRCL (Computer Incident Response Center Luxembourg )
• Dolores Peres – Head of Group Data Protection (KBL)
• Eric Romang – Data Protection and Information Security Officer (PingPong SA)

Au cours de la table ronde, les intervenants ont partagé leurs expériences et leurs manières de procéder. Gérard Wagener (CIRCL) a vivement conseillé aux organisations de mettre en place une procédure de réponse sur incident, afin de pouvoir prendre rapidement les mesures de défense et de protection des données personnelles.

L’impact d’autres régulations a également été abordé, notamment PSD2 et NIS (Network and Information Security) qui prévoient des délais de notification nettement plus courts. «Indépendamment des délais légaux, réagir rapidement est souvent bénéfique, si l’on veut protéger efficacement les droits des propriétaires de données affectées par un incident », expliqua Alain Herrmann (CNPD).

L’appel lancé par Tine A. Larsen est clair : « Laissez-nous vous aider : le plus nous en saurons, au mieux nous pourrons vous guider et vous conseiller dans la résolution du problème». En outre, le partage d’information est, selon Eric Romang, un élément clé qui permettra d’améliorer progressivement la connaissance et la prévention des incidents. Pour ce faire, un outil comme MISP présente de nombreux avantages.