Les attaques contre les serveurs de messagerie sont-elles des incidents de protection des données à déclarer ?

Début mars 2021, Microsoft a annoncé que Microsoft Exchange présentait des failles de sécurité. Microsoft Exchange est un produit de serveur de messagerie utilisé des millions de fois dans le monde, il s'agissait donc d'une mise en danger de serveurs utilisés des millions de fois et accessibles depuis Internet, qui étaient souvent déjà infectés / activement attaqués par cette faille.

Si Microsoft a rapidement mis à disposition des mises à jour de sécurité que les personnes concernées pouvaient installer, ainsi qu'un script de contrôle pour Exchange Server permettant aux personnes concernées de vérifier si leurs serveurs avaient été piratés, il était déjà trop tard pour certaines personnes concernées : de nombreuses entreprises ont été victimes d'une attaque de pirates.

Pour les entreprises concernées, la question est de savoir à partir de quand il y a un incident de protection des données à déclarer, quelles sont les obligations d'information qui leur incombent et si, dans le cas concret, il y a un tel incident concernant Microsoft Exchange.

Quand y a-t-il un incident de protection des données à déclarer ?

L'article 33 du RGPD définit quand un incident de protection des données doit être notifié. Selon cet article, il existe une obligation de notification "en cas de violation de la protection des données à caractère personnel [...] à moins que la violation de la protection des données à caractère personnel ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques".

La question est donc de savoir quand il y a une "violation de la protection des données à caractère personnel". L'article 4, point 12, du RGPD fournit une définition à ce sujet. Selon cet article, une violation de la protection des données à caractère personnel est "une violation de la sécurité entraînant la destruction, la perte ou l'altération, [...] ou la divulgation non autorisée de données à caractère personnel, ou l'accès non autorisé à de telles données [...]".

Conformément à l'article 4, point 1, du RGPD, les données à caractère personnel sont toutes les informations qui se rapportent à des personnes physiques identifiées ou identifiables.

Il y a violation de la sécurité de ces données, conformément à l'article 4, point 12, du RGPD, lorsque ces données sont détruites, perdues, modifiées, divulguées sans autorisation ou rendues accessibles sans autorisation. Cela comprend donc tout d'abord toutes les pannes et les fuites de données. Les problèmes techniques et les pannes de système qui ont des conséquences correspondantes sont également inclus, tout comme les attaques de piratage et le vol de données.

Pour avoir une meilleure vue d'ensemble des incidents à déclarer, il existe dans certains Länder des possibilités d'information via les autorités de surveillance. En outre, les lignes directrices du Comité européen de la protection des données du 19.01.2021 contiennent de nombreux exemples et un bon aperçu.

Quelles sont les obligations d'information ?

En cas d'incident de protection des données à déclarer, la question suivante que se posent les entreprises concernées est la suivante : Qui doit être informé ?

Tout d'abord, il existe une obligation de notification à l'autorité de contrôle compétente conformément à l'article 33 du RGPD.

En outre, les personnes concernées, telles que les clients ou les employés, doivent également être informées individuellement lorsqu'il existe un risque élevé pour les droits et libertés des personnes physiques (article 34 I du RGPD). Il s'agit généralement d'un cas exceptionnel, qui se produit lorsqu'il faut s'attendre à des conséquences ou à des préjudices graves pour la personne concernée (par exemple, vol d'identité ou violation de la confidentialité du secret professionnel). Le fait que les personnes concernées doivent être informées individuellement est surtout le cas lors de la perte de données bancaires ou de données de patients. Toutefois, le cas particulier est toujours déterminant et il convient de toujours consulter le délégué à la protection des données.

L'affaire Microsoft Exchange est-elle un incident de protection des données à déclarer ?

La question de savoir s'il s'agit d'un incident à déclarer est effectivement controversée. Alors que l'autorité de surveillance de Hambourg affirme qu'il n'existe une obligation de notification que s'il a été effectivement constaté que des données ont fui, l'autorité de surveillance du Bade-Wurtemberg affirme qu'il existe une obligation générale de notification et les autorités de surveillance de Basse-Saxe et de Bavière estiment que même l'installation tardive des mises à jour Microsoft entraîne une obligation de notification.

Les entreprises qui constatent qu'elles sont concernées devraient donc le signaler immédiatement à l'autorité de contrôle. Toutefois, si aucune fuite de données n'a pu être constatée, une notification n'est probablement pas nécessaire, mais elle doit toujours être évaluée au cas par cas par un personnel spécialisé. Dans tous les cas, tous les incidents et mesures devraient être documentés et les systèmes informatiques devraient être régulièrement contrôlés par des experts.

Des conseils et une aide professionnels sont alors indispensables.