Contrôleur de données : CSS Limited
- Il s’agit d’une déclaration publique faite par l’Autorité chargée de la protection des données du Bailliage de Jersey (l ‘« Autorité») conformément à l’article 14 de la loi de 2018 de l’Autorité chargée de la protection des données (Jersey).
- Plus précisément, l’Autorité a établi que CSS Limited (« CSS ») avait subi trois violations distinctes :
-
- Perte de disponibilité des systèmes causée par le virus GandCrab (août 2018) ;
- Accès aux systèmes de CSS par des tiers externes (novembre 2018) ; et
- Perte d’intégrité du système (janvier à mai 2019).
- L’accès aux systèmes de CSS était particulièrement important, car il constituait une attaque d’une tierce partie externe hostile et a conduit à la vulnérabilité des systèmes de CSS. Cela a entraîné une perte d’informations sur les personnes concernées, notamment des informations d’identité, des itinéraires de voyage, des informations familiales et des documents relatifs à l’emploi.
- CSS n’a pas répondu de manière appropriée à cet accès non autorisé car son personnel ne connaissait pas et ne comprenait pas correctement le DPJL 2018. Celui-ci n’était donc pas en mesure de :
- identifier l’accès non autorisé comme étant une « violation de données personnelles » (entraînant le fait de ne pas nommer / retenir les services de prestataires dédiés pour l’aider à enquêter sur la violation présumée, même après avoir été informé par son responsable qu’il n’avait pas les connaissances ou l’expertise nécessaires pour enquêter) ;
- apprécier l’importance de la violation ou comprendre l’impact potentiel que la violation pourrait avoir sur les personnes concernées dont les informations ont été compromises ; ou
- se rendre compte que l’entreprise devait informer l’Autorité, ou notifier toute personne concernée au moment opportun et comme elle aurait dû le faire dans ces circonstances particulières.
- À la suite d’une enquête approfondie, l’Autorité a établi que CSS a enfreint l’article 8, paragraphe 1, point f), de la loi de 2018 portant sur la protection des données (Jersey) (la« DPJL 2018 ») pour les raisons suivantes :
- elle n’a pas mis en place les mesures technologiques et organisationnelles appropriées pour garantir la sécurité des données qu’elle traite et n’a pas empêché tout accès non autorisé à ces informations, notamment : absence de pare-feu adéquats, incapacité de former correctement le personnel à la protection des données et défaut de vigilance dans la sélection et le suivi de son prestataire informatique.
- n’a pas réagi de manière appropriée une fois qu’elle a eu connaissance d’une violation de données à caractère personnel ; et
- n’a pas informé l’Autorité et les personnes concernées d’une violation de données à caractère personnel.
- L’Autorité a pris en compte un certain nombre de facteurs lorsqu’elle a examiné la manière appropriée de traiter cette question. Cela comprenait les facteurs atténuants suivants en faveur de CSS :
-
- Aveux pleins et francs faits par CSS quant à la nature des violations et comment elles se sont produites ;
- Coopération complète du personnel de CSS, notamment en autorisant l’accès aux locaux le jour de l’enquête et en coopérant pleinement avec le personnel de l’Autorité (y compris l’expert de l’Autorité en matière de sécurité de l’information) ;
- Bien qu’il y ait eu un certain retard dans la prise de mesures par CSS pour atténuer l’impact des violations (en particulier l’accès non autorisé), il est clair que cela a été causé, en partie, par les conseils fournis à CSS par son fournisseur informatique de l’époque et par des avis contradictoires et peu clairs relatifs à la l’affaire en question ;
- Prise de mesures importantes pour mettre à jour ses systèmes informatiques, y compris le remplacement de son ancien fournisseur informatique ;
- Mise en place d’une formation à jour sur la protection des données à tous les employés de CSS (y compris son délégué à la protection des données).
- Compte tenu des éléments relatifs à la situation évoquée, y compris les facteurs atténuants évoqués ci-dessus, l’Autorité a, par un dernier avis signalé à CSS et daté du 8 janvier 2020, rendu plusieurs ordonnances conformément à l’article 25, paragraphe 3, de la loi de l’Autorité. Ces ordonnances concernent :
-
- la mise à jour des systèmes de CSS ;
- la formation de son personnel ; et
- la notification à certaines personnes concernées.
- CSS restera également sous la surveillance du commissaire à l'information jusqu'à la fin du mois de mai 2020 afin de s'assurer que CSS intègre ses activités de traitement dans le champ d'application du DPJL 2018 et fera l'objet d'un examen final à la fin de cette période par l’expert externe de l’Autorité en matière de sécurité de l’information.
Étapes de la procédure
- Une fois l’enquête terminée, l’article 23 de la loi de l’Autorité impose à l’Autorité de déterminer si un responsable de données a enfreint la DPJL 2018.
- Si l’Autorité établit qu’il y a eu infraction, elle doit ensuite examiner quelle sanction devrait être imposée au responsable du traitement, le cas échéant.
- Conformément à la loi, l’Autorité a écrit à CSS avec un projet de décision indiquant ses conclusions et l’informant de l’ordonnance que l’Autorité envisageait de prononcer. Un projet de déclaration publique a également été fourni. CSS disposait de 28 jours pour présenter ses observations sur les projets.
- L’article 25 de la loi de l’Autorité énonce l’éventail des sanctions dont l’Autorité peut se prévaloir à la suite d’une décision et, après avoir examiné tous les faits pertinents (y compris le rapport fourni par l’expert externe de l’Autorité en matière de sécurité de l’information et les mesures d’atténuation dont dispose CSS), l’Autorité a estimé qu’il était plus approprié de régler cette affaire par le biais des diverses ordonnances susmentionnées.
- La décision définitive a été rendue à CSS le 8 janvier 2020. L’article 32 de la loi de l’Autorité permet à une partie concernée de faire appel devant la Cour royale de Jersey. Un tel appel doit être fait dans les 28 jours.
28 Janvier 2020