A une époque où le piratage informatique est devenue une pratique courante du fait du laxisme persistant ayant conduit à l’impuissance des autorités depuis plus de 20 ans vis-à-vis des pirates qui ne sont quasiment jamais identifiés et encore moins poursuivis et condamnés, Lexing Alain Bensoussan Avocats rappelle aux collectivité territoriales les obligations de sécurité qu’elles doivent mettre en place au titre des articles 33 et 34 du RGPD afin de prévenir tout incident de sécurité et de mettre en place les mesures appropriées en cas de violation de données.
L’Anssi a publié un guide détaillant le processus de gestion des incidents de sécurité :
- Se préparer: définir ce que l’on considère comme un incident de sécurité, organiser la gestion des incidents de sécurité, communiquer en interne, auditer régulièrement les procédures mises en place, etc.
- Superviser
- Catégoriser
- Réagir : notifier à la CNIL dans les 72h, informer les victimes d’une violation de données à caractère personnel, prendre toutes mesures nécessaires afin de limiter l’incident, collecter et conserver des preuves, etc.
- Apprendre : analyser les causes ayant engendré l’incident et la manière dont on a su ou non réagir afin de mettre en place d’un plan d’action préventive pour empêcher la survenance d’un incident similaire.