Les obligations de notification des incidents de sécurité

Les obligations de notification des incidents de sécurité informatique nécessitent une gestion rigoureuse des événements et un système d’alerte performant.

Plusieurs autorités peuvent être notifiées en fonction du secteur d’activité de l’organisme et de sa sensibilité pour la sécurité nationale, de la nature des données collectées et du type de traitement.

Afin de répondre à l’ampleur de ce phénomène, l’introduction d’un guichet unique, qui centralise l’ensemble des incidents de sécurité, peut constituer une solution pragmatique et efficace pour simplifier les démarches des entreprises.

La notification des incidents de sécurité aux Agences régionales de santé

Les centres de santé (hôpitaux, cliniques, centres de soins, structures pour personnes âgées, handicapées et dépendantes) ont l’obligation de notifier les incidents graves de sécurité de leur système d’information aux organismes administratifs chargés de la mise en œuvre de la politique de santé au niveau régional.

Cette notification des incidents graves de sécurité aux Agences régionales de santé (ARS) vise pour l’essentiel à :

• informer les autorités de l’Etat ;
• aider les établissements concernés à prendre des mesures adaptées;
• alerter l’ensemble des acteurs de santé concernés.

Les établissements de santé concernés ont l’obligation de signaler les incidents graves de sécurité, à savoir, les événements générateurs d’une situation exceptionnelle et notamment :

• les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
• les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
• les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service concerné.

La déclaration de notification des incidents graves de sécurité s’effectue, sans délai, sur le site signalement-sante.gouv.fr, ou, en cas d’impossibilité, par voie de formulaire figurant en annexe de l’arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information (1).

Les notifications des violations de données à caractère personnel à la Cnil

Tout responsable d’un traitement a l’obligation de notifier à la Commission nationale de l’informatique et des libertés (Cnil) les violations de données à caractère personnel, c’est-à-dire, toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

En cas de recours à la sous-traitance, le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Le G29, groupe de travail réunissant les autorités de contrôles européennes, distingue trois cas de violations de données :

• les violations de confidentialité : en cas de divulgation et/ou d’accès (accidentel ou non-autorisé) à des données personnelles ;
• les violations de disponibilité : en cas de perte et/ou destruction (accidentel ou non-autorisé) de données personnelles ;
• les violations d’intégrité : en cas d’altération et/ou modification (accidentel ou non-autorisé) de données personnelles.

La notification devra être effectuée au plus tard dans les 72 heures après que le responsable du traitement a eu connaissance de la violation. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

De plus, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique également la violation de données à caractère personnel aux personnes concernées dans les meilleurs délais.

Les notifications des incidents de sécurité à l’Anssi

Trois catégories d’acteurs ont l’obligation de notifier à l’Agence nationale de la sécurité des systèmes d’Information (Anssi) les incidents de sécurité de leur système d’information.

Les Opérateurs d’importance vitale (OIV) sont désignés par le gouvernent. Ces organismes sont des entreprises exploitant des établissements ou utilisant des installations dont l’indisponibilité risquerait de diminuer la sécurité nationale. A cet égard, les OIV ont l’obligation d’informer le Premier ministre des incidents affectant le fonctionnement ou la sécurité de leur système d’information.

On trouve également, les Opérateurs de services essentiels (OSE) qui, désignés par le Premier ministre, offrent des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents affectant leur système d’information. Ces derniers doivent également déclarer à l’Anssi les incidents qui ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés, ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services.

Les Fournisseurs de services numériques (FSN), entreprises qui fournissent des services de places de marché en ligne, des moteurs de recherche en ligne, ou services d’informatique en nuage sont également les débiteurs d’une obligation de notification à l’Anssi des incidents de sécurité qui affectent leur système d’information. Ces entreprises ont notamment l’obligation de déclarer les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne, lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services.

En ce qui concerne les modalités de signalement, l’Anssi met à la disposition de ces acteurs un formulaire de déclaration d’un incident de sécurité, accessible depuis son site internet. Ce document devra lui être transmis sur un support adapté à la sensibilité des informations déclarées.

La notification d’incident de sécurité auprès de l’Anssi devra par ailleurs être effectuée, sans retard injustifié, par ces opérateurs.

Les notifications d’incidents à la Banque de France

Les Prestataires de services de paiement (PSP) regroupent les établissements de paiement et les établissements de crédit. Ces derniers doivent informer, sans retard injustifié, l’Autorité de contrôle prudentiel et de résolution (ACPR) de tout incident opérationnel majeur et la Banque de France de tout incident opérationnel majeur qu’ils auraient à connaître dans le cadre de leur activité. Cet incident est défini comme un évènement découlant de processus inadéquats ou défaillants, de personnes et systèmes ou d’événements de force majeure qui affectent l’intégrité, la disponibilité, la confidentialité, l’authenticité et/ou la continuité des services liés aux paiements.

La notification des incidents à l’ACPR et à la Banque de France s’effectue sur la base d’un modèle de notification pour les prestataires de services de paiement conforme à l’annexe 1 des lignes directrices EBA/GL/2017/10 (2). Ce document est communiqué dans les 4 heures qui suivent l’incident en se connectant à la Banque de France via un site internet dédié.

Anthony Coquer
Jean-François Mary
Lexing Département Sécurité et organisation

(1) Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information, JORF n°0261 du 8-11-2017 .
(2) Orientations sur la notification des incidents majeurs en vertu de la directive (UE) 2015/2366 (DSP2), (EBA/GL/2017/10), 19-12-2017 : Lignes directrices, annexe 1 p. 21.