Selon le CSN, la profession notariale assiste depuis fin novembre à une recrudescence très marquée des piratages informatiques et des cyberattaques envers les offices. Orianne Normand, Directrice Protection des Données chez ADNOV nous éclaire sur le rôle essentiel de votre Délégué à la protection des données (DPO) en cas d’incident de sécurité.
Que fait le DPO ADNOV pour accompagner les offices en cas de menace avérée ?
O.N. : Avant toute chose, nous réalisons une analyse des risques, soit aux côtés de l’office soit aux côtés du prestataire ayant subi l’incident, pour évaluer l’impact sur les droits et libertés des personnes concernées à savoir les clients des offices. C’est ce que l’on appelle « l’analyse du risque ». Nos équipes cherchent à comprendre comment l’attaque a pu se produire, elles mènent des investigations approfondies pour identifier et évaluer la gravité du risque. Nous travaillons main dans la main avec nos clients et les prestataires du notariat ; la transparence et la confiance sont primordiales. C’est d’ailleurs une obligation réglementaire : il est du devoir des sous-traitants de communiquer aux offices toutes les informations utiles au sujet de l’attaque pour leur permettre, en leur qualité de « Responsables de traitement », d’effectuer une notification auprès de la CNIL le cas échéant En tant que DPO de 5000 offices notariaux, et DPO mutualisé de la profession, nous contactons les sous-traitants pour le compte des offices le cas échéant.
Comment le DPO ADNOV réagit en fonction du risque ?
O.N. : Notre mission, c’est d’identifier dans les plus brefs délais les conséquences de la cyberattaque pour pouvoir accompagner les offices et mettre en place un plan d’actions approprié. Je rappelle que l’objectif principal en matière de sécurité des données, c’est de garantir la confidentialité, l’intégrité et la disponibilité des données. C’est un principe majeur du RGPD.
Il existe trois types de cas :
- La perte de disponibilité ; qui entraîne la mise hors service du logiciel métier ou de l’activité sans atteinte aux données. Les données sont simplement inaccessibles.
- La perte d’intégrité ; Les données sont altérées. Cela signifie qu’elles ont été modifiées.
- La perte de confidentialité ; les données ont fuité auprès de personnes non habilitées. C’est le cas de figure le plus grave pour l’office et pour la vie privée de ses clients.
Malheureusement dans certains cas l’impact ne peut s’évaluer dans la minute. Les investigations demandent du temps, et il est difficile de savoir immédiatement ce qui est menacé de ce qui ne l’est pas..
Quelle est la marche à suivre en cas d’intrusion constatée, ou potentielle ?
O.N. : En premier lieu, appeler son prestataire informatique bien sûr. En second lieu, contacter son Délégué à la protection des données qui est de bons conseils dans ce genre de situation mais aussi pour lui permettre de conseiller l’office sur la nécessité, selon lui, de notifier ou non l’incident à la CNIL dans le délai réglementaire de 72H. Il est de la responsabilité du responsable de traitement de respecter le délai de 72H et, le cas échéant, de procéder à la notification auprès de la CNIL (parfois même d’informer les personnes concernées en cas de risque élevé pour leurs droits et libertés). Nous proposons souvent à nos clients d’effectuer à leur place ou à leur côté ladite notification, mais uniquement après validation par l’office de l’ensemble des éléments. En cas de violation de données chez un prestataire, nous réunissons une cellule de crise et nous organisons sans délai ; toute une équipe est mobilisée. Il existe également une boîte mail dédiée violationdonnees@adnov.fr pour que nos clients puissent formuler leurs sollicitations par mail et bien entendu, notre service client reste comme habituellement à leur disposition. Toutes nos équipes sont très réactives pour les accompagner le plus efficacement possible !
Le nombre de sollicitations d’ADNOV en matière de violations de données augmente. Comment l’expliquer ?
O.N. : Parce que les cybermenaces s’intensifient de manière générale contre les TPE, soit de façon très ciblée, soit à vaste échelle. C’est pour cela que l’on recommande de se former aux bonnes pratiques et de sensibiliser les collaborateurs de l’office à la détection d‘anomalies et de comportements suspects. La vigilance doit être de tous les instants et la prévention demeure la protection la plus efficace puisqu’on sait que la faille de sécurité la plus importante est l’humain.
En tant que Délégué à la protection des données mutualisé du notariat, Je rappelle que se doter d’un Délégué à la protection des données est une obligation réglementaire depuis le RGPD. Le DPO accompagne les offices en les conseillant dans leur démarche de mise en conformité et notamment sur les mesures de sécurité techniques et organisationnelles à mettre en place. ADNOV est considéré comme un expert dans son domaine, et a été désigné par près de 5000 offices. Cliquez ici pour découvrir notre offre DPO externalisé.