Veille juridique
Le rôle essentiel des sous-traitants

Rançongiciels : des attaques en constante augmentation

Veille Juridique N°51 – Septembre 2022.

Rançongiciels : des attaques en constante augmentation : L’actualité de l’automne nous ramène à une préoccupation récurrente des responsables de traitements de données, celle des violations de sécurité.

La cyberattaque de l’hôpital de l’Essone et la diffusion de plusieurs gigas de données concernant les patients nous rappellent combien il est important de prendre toute mesure utile afin de se prémunir contre de telles attaques.

Ces faits reflètent une tendance constante d’augmentation des attaques partout en Europe.

La CNIL indique ainsi une augmentation de 79 % de notifications de violations de données en 2021 par rapport à 2020 (5037 en 2021), plus de 2150 notifications de violations résultant d’une attaque par rançongiciel reçues en 2021, soit 43 % du volume total.

En outre, la moitié des sanctions prononcées par la CNIL l’année dernière ont visé des manquements à l’obligation de sécurité des données.

Ce mois d’octobre est donc l’occasion de faire le point sur les mesures de sécurité essentielles, comme nous y invitent la CNIL et l’ANSSI qui débutent leur campagne de sensibilisation « Cybermois » concernant les rançongiciels.

Cette campagne est la déclinaison française de la campagne européenne de cybersécurité ECSM, portée par la majorité des pays européens et par l’agence européenne de sécurité ENISA.

Rappelons tout d’abord les recommandations de la CNIL, qui liste les différentes étapes de la gestion de la sécurité des traitements de données, dont :

  • Le recensement des traitements de données et leurs supports (matériels, logiciels, canaux de communication, supports papier):
  • L’appréciation des risques engendrés par chaque traitement ainsi que leurs impacts potentiels sur les droits et libertés des personnes concernées (notamment lorsque des données sensibles sont traitées).
  • Les sources de risques (sources humaines et non humaines).
  • Les menaces réalisables, c’est-à-dire les possibles événements déclencheurs (ex : vandalisme, usure naturelle, unité de stockage pleine, attaque par dénis de service).
  • Les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : sauvegardes, chiffrement), proportionnées aux risques.
  • La gravité et la vraisemblance des risques, au regard des éléments précédents.

L’ANSSI apporte des précisions quant aux mesures de sauvegarde essentielles:

  • Prévoir des sauvegardes automatiques, déconnectées du réseau ;
  • Tester les sauvegardes de manière régulière ;
  • Préparer un plan de continuité d’activité (PCA) ;
  • Prévoir une cellule de crise ;
  • Exercer un dispositif de crise.

L’agence rappelle en outre ses conseils de prudence en ce qui concerne les emails non sollicités, en particulier lorsqu’ils contiennent une pièce jointe :

  • Ne pas faire confiance aux numéros de téléphone ou aux hyperliens mentionnés dans le message,
  • Vérifier l’adresse de l’expéditeur en cliquant dessus, appeler son interlocuteur habituel plutôt que répondre à un message douteux.

En cas de violation de données, des mesures adaptées doivent être prises immédiatement afin de mettre fin à la violation, et de limiter l’impact sur les personnes concernées.

L’ANSSI recommande en cas d’attaque par rançongiciel d’activer les mesures de remédiation et le dispositif de crise, puis d’alerter les autorités compétentes (police, gendarmerie, ANSSI) avant de chercher une assistance technique.

En cas de soupçon d’intrusion, on trouvera des informations utiles sur le site du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, et sur le site du gouvernement consacré à la cybermalveillance.

Rappelons enfin qu’en vertu du RGPD, le responsable doit procéder à une notification de la violation auprès de la CNIL, dans les 72 heures suivant le moment où il en a pris connaissance.

Lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (par exemple en cas de vol de données sensibles telles que des données de santé) il devra également les en informer individuellement.

La CNIL organise les 18 et 21 octobre deux webinaires respectivement sur les mots de passe et la sécurité des systèmes d’intelligence artificielle, sur inscription. Les détails sont à retrouver sur son site web.

Et aussi

France :

Le 8 septembre, la CNIL a prononcé une sanction de 250 000 euros à l’encontre du GIE INFOGREFFE, qui édite via son site web le service de diffusion de l’information légale et officielle sur les entreprises. Infogreffe est sanctionné pour avoir manqué à plusieurs obligations du RGPD en matière de durées de conservation et de sécurité des données personnelles.

Intelligence artificielle : le Conseil d’État se prononce sur la gouvernance du futur règlement européen, et publie deux études sur le sujet.

–           Dans son document du 30 août 2022, le Conseil d’État aborde la question de la qualité du service public et pose les bases d’une stratégie française pour l’IA.

Il encourage entre autres à renforcer les pouvoirs de la CNIL et à la rendre formellement responsable de la régulation des systèmes d’IA.

–           Le Conseil d’État s’est également penché sur l’encadrement des réseaux sociaux dans le contexte du développement de l’IA.

Il publie ce 27 septembre une étude dans laquelle il formule 17 recommandations pour rééquilibrer les forces en faveur des utilisateurs, armer la puissance publique dans son rôle de régulateur et penser les réseaux sociaux de demain.

Le CE propose également de créer un pôle interministériel renforcé pour rassembler les différentes expertises de l’État en la matière. 

Europe :

Le 16 septembre 2022, le Contrôleur européen de la protection des données (EDPS) a intenté une action en justice concernant deux dispositions du nouveau règlement qui permettent rétroactivement à l’agence Europol de traiter les données des citoyens même sans lien établi avec une activité criminelle.

Le CEPD a demandé à la Cour de justice de l’Union européenne d’annuler les deux dispositions de ce règlement, qui est entré en vigueur le 28 juin 2022.

Dans sa deuxième édition de sa lettre d’actualité TechSonar, l’EDPS sélectionne 5 tendances émergentes : il développe les problématiques de

  • la détection des ‘fake news’,
  • la monnaie numérique de la banque centrale,
  • le Metavers,
  • le « federated learning » et les « données synthétiques », deux sujets liés à l’intelligence artificielle.

Vers une responsabilisation renforcée en matière d’IA ?

La proposition de la Commission européenne concernant la révision de la directive sur la responsabilité du fait des produits vise à adapter le régime de responsabilité de l’UE à l’ère numérique.

Une directive supplémentaire a été proposée, visant des dommages spécifiques causés par l’intelligence artificielle.

La responsabilité se poursuivrait après le lancement du produit sur le marché, couvrant les mises à jour logicielles, l’absence de prise en compte des risques de cybersécurité et l’apprentissage automatique.

En d’autres termes, les développeurs continueraient d’être responsables des systèmes d’IA qui apprennent de manière autonome et des mises à jour du déploiement ou de l’absence de celles-ci.

Le RGPD peut être pris en considération dans le contexte des dossiers concernant la concurrence : le 20 septembre, l’avocat général de la CJUE, M. Rantos, a ainsi émis un avis selon lequel le RGPD peut être pris en considération par les autorités de la concurrence lorsqu’elles évaluent la position dominante de Meta sur le marché.

Les députés européens ont effectué une visite auprès de l’autorité irlandaise de protection des données entre le 21 et le 23 septembre dernier, et ne semblent pas entièrement satisfaits de leur voyage : la délégation de la commission des libertés civiles du Parlement (LIBE) souhaitait expressément examiner la mise en œuvre et l’application du RGPD, en particulier le fonctionnement du mécanisme de « guichet unique ».

Le chef de la délégation a décrit l’autorité irlandaise de protection des données comme « un goulot d’étranglement du mécanisme de guichet unique », ajoutant qu' »un examen indépendant des procédures et des actions de la DPC serait utile. »

Le 13 septembre, les membres du groupe de défense des droits numériques EDRi ont rencontré le Comité européen de protection des données (EDPB) pour discuter de possibles améliorations à l’application du RGPD.

EDRi souligne que le manque d’harmonisation des dispositions nationales et les cas transfrontaliers ne sont pas les seuls problèmes.

Il y a selon l’ONG de multiples cas nationaux où les plaintes et les violations du RGPD n’ont pas été correctement traitées par les autorités de contrôle, notamment en raison d’un manque de ressources.

Parmi les problèmes rencontrés, citons le refus de donner suite à une plainte, les retards inexpliqués dans le traitement d’une plainte, l’absence de mises à jour du statut et les difficultés à déposer une plainte en premier lieu.

Le commissaire à la protection des données et aux libertés de Berlin (BInBDI) a infligé une amende de 525 000 € à un groupe de vente au détail pour avoir enfreint l’article 38(6) du GDPR en raison du conflit d’intérêts de leur DPO : celui-ci contrôlait également les décisions prises en sa qualité de dirigeant de l’entreprise.

Sur le même sujet, l’autorité islandaise de protection des données a estimé qu’il y avait un conflit d’intérêts lorsqu’un DPO est simultanément avocat principal, directeur général adjoint ou membre du conseil d’administration d’une entreprise.

Un DPO peut toutefois occuper le poste de responsable de la conformité.

Notons à ce sujet que la désignation et la fonction du DPO seront les sujets de la prochaine action coordonnée de contrôle du Comité européen de protection des données.

La Chambre de commerce de Karlsruhe a annulé une décision de la chambre des marchés publics du Bade-Wurtemberg jugeant, entre autres, que le simple fait qu’un sous-traitant de données soit la filiale d’un groupe commercial d’un pays tiers ne remet pas en question l’engagement du sous-traitant à traiter exclusivement des données personnelles dans l’Espace économique européen.

L’APD roumaine a infligé une amende de 5 000 € à un éditeur pour absence de mesures techniques et organisationnelles adéquates, après deux violations de données qui ont affecté 10 739 de ses (anciens) clients et 100 de ses employés et partenaires.

L’APD espagnole a conclu qu’un responsable du traitement avait violé l’article 6 du RGPD après avoir publié une photo sur Instagram sans base juridique valable.

L’APD a imposé une amende de 10 000 € au responsable du traitement.

L’APD danoise a estimé qu’un parti politique disposait d’une base juridique suffisante au titre de l’article 6(1)(f) du RGPD pour enquêter sur l’un de ses membres pour violences sexuelles présumées.

Cependant, elle a réprimandé le responsable du traitement et le sous-traitant pour ne pas avoir informé la personne concernée du traitement comme l’exige l’article 14(2)(b).

L’APD belge a infligé une amende de 20 000 € à un laboratoire médical pour avoir violé plusieurs obligations prévues aux articles 5(1)(f) et 35(3) du RGPD en raison de l’absence de politique de sécurité et de confidentialité sur son site web et de l’inexistence d’une analyse d’impact sur la protection des données (décisions nationales recensées par GDPRhub).

L’accord d’accès aux données entre le Royaume-Uni et les États-Unis, qui permet aux enquêteurs de l’un ou l’autre pays d’accéder aux données électroniques relatives à des crimes graves, est entré en vigueur le 3 octobre.

Le texte permet aux services répressifs britanniques et américains de demander les données détenues par les fournisseurs de télécommunications de leurs juridictions respectives.

Les sociétés suisses de messagerie Proton et Threema ont signé, aux côtés d’autres entreprises étrangères, une charte qui leur impose de récolter le moins de données possible et de chiffrer les messages. Le but est que d’autres acteurs de la tech s’y associent.

International :

Selon un nouveau rapport de l’ONU (Bureau des droits de l’homme) du 16 septembre 2022, le droit à la vie privée des personnes est soumis à une pression de plus en plus forte du fait de l’utilisation de technologies numériques en réseau.

Ces technologies constituent selon le rapport de formidables outils de surveillance, de contrôle et d’oppression, qui nécessitent un encadrement par une réglementation efficace fondée sur le droit et les normes internationales en matière de droits de l’homme.

Le rapport se penche sur trois domaines clés :

  • L’utilisation abusive de logiciels espions par les autorités publiques,
  • Le rôle clé des méthodes de cryptage robustes dans la protection des droits humains en ligne
  • Les conséquences de la surveillance numérique généralisée des espaces publics, tant hors ligne qu’en ligne.

La Chambre des représentants indonésienne a adopté son projet de loi sur la protection des données à caractère personnel.

L’outil de « résultats vous concernant » de Google destiné à simplifier le processus de suppression des résultats de recherche contenant des informations personnelles telles que courriel ou numéro de téléphone commence à être déployé, selon un rapport de la société.

Google avait annoncé cette fonctionnalité au début de l’année, en précisant qu’elle serait bientôt disponible dans l’application Google.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.