Depuis plusieurs années, la cybercriminalité se développe. Cette cybercriminalité se traduit par le piratage de sites gouvernementaux, des escroqueries (dont plusieurs ETT ont été victimes), des « rançongiciels », de l’hameçonnage incitant un interlocuteur de l’entreprise à communiquer des données personnelles en se faisant passer pour un tiers de confiance.
Chaque entreprise de travail temporaire peut être ciblée, quelque soit sa taille, mais également ses sous-traitants collectant ou hébergeant tout ou une partie des données de l’ETT (Editeur de logiciel, plateforme de gestion des contrats pour le compte de l’EU…)
Les mesures à prendre quand le sous-traitant d’une ETT est victime d’une cyberattaque
Lorsqu’une ETT est informée par son sous-traitant qu’il est victime d’une cyberattaque qui a pu affecter les données collectées ou hébergées pour le compte de l’ETT, il est nécessaire d’obtenir de ce sous-traitant des informations régulières et précises permettant de savoir quelle est la gravité de la violation des données.
Le responsable du traitement des données personnelles de l’ETT effectuera une notification auprès de la CNIL si, en raison de la violation des données de l’ETT constatée par le sous-traitant, celui-ci conseille de faire cette déclaration.
Vous pouvez consulter le lien suivant : déclaration CNIL
Une notification auprès de la CNIL doit être faite lorsque les violations présentant un risque pour les droits et libertés des personnes, complétée, si nécessaire, d’une information auprès des salariés et des clients s’il s’agit de données sensibles
Le délai pour faire une notification à la CNIL
La notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation de la violation des données, c’est-à-dire, rapidement après l’information faite par votre sous-traitant. Le délai préconisé par la CNIL est de 72 heures. Il est recommandé de faire une notification même si les informations fournies par votre sous-traitant sont incomplètes. Vous pourrez ensuite compléter cette notification avec les informations fournies par celui-ci.
La procédure interne à l’ETT en cas de violation des données
Les entreprises de travail temporaire sont identifiées par la CNIL comme des entreprises réalisant des traitements de données à caractère personnel, certaines de ces données étant particulièrement sensibles au sens de la règlementation relative à la protection des données.
C’est pourquoi une cyberattaque affectant les données collectées pour le compte d’une entreprise de travail temporaire doit faire l’objet d’un traitement interne de cet « incident », indépendamment de la notification qui serait faite auprès de la CNIL
En interne, l’entreprise de travail temporaire doit documenter l’incident en déterminant notamment, sur la base des informations du sous-traitant
- La nature de la violation ;
- Le nombre approximatif de personnes concernées ;
- Le type de données concernées ;
- La description des conséquences probables de la violation de données ;
- Les informations obtenues du sous-traitant sur les mesures prises pour atténuer les éventuelles conséquences négatives de cet incident et éviter que l’incident se reproduise à l’avenir
Un blocage de l’accès aux données est-il un cas de force majeure
D’un point de vue juridique, la force majeure est caractérisée par les trois éléments suivants :
- Evènement imprévisible
- Evènement insurmontable
- Evènement extérieur aux parties
La cyberattaque dont est victime un sous-traitant qui se traduit par une absence totale d’accès aux données de l’ETT, en cas d’hébergement de ces données sur un serveur du sous-traitant, remplit les conditions de la force majeure
Si une telle situation n’exonère cependant pas l’entreprise de travail temporaire de toutes les démarches liées à l’embauche d’un salarié car certaines peuvent être faites en dehors de l’accès au serveur de données (DPAE, transmission des informations au salarié intérimaire sur la mission à effectuer…)