Lois sur les fuites de données et les notifications
1) Introduction et objectifs
La fuite de données n'est pas seulement un incident technique, mais aussi une procédure juridique avec des délais, des destinataires et des exigences formelles pour le contenu des notifications. Les erreurs des premières heures augmentent le risque d'amendes, de recours collectifs et de pertes de réputation. Ce matériel est une « feuille de route » pratique pour les plates-formes B2C (y compris iGaming/fintech) qui aide à agir de manière synchronisée : sécurité, avocats, relations publiques, soutien à la clientèle et conformité.
2) Ce qui est considéré comme une « fuite de données personnelles »
Un incident de sécurité personnelle entraînant la destruction accidentelle ou illégale, la perte, la modification, l'accès non divulgué ou la divulgation de données personnelles. Le risque pour les droits et libertés des sujets (confidentialité, préjudice financier, discrimination, phishing, etc.) est important.
3) Rôles et responsabilités
Contrôleur (opérateur) - détermine les objectifs et les moyens de traitement ; a l'obligation première de notification, de comptabilisation et de sélection des bases juridiques.
Processeur (processeur/entrepreneur) : Traite les données à la demande ; est tenu d'informer le contrôleur sans retard et de faciliter les enquêtes et les notifications.
Contrôleurs conjoints - coordonner un point de contact unique et répartir les zones de responsabilité dans l'accord.
4) Seuil de notification : trois niveaux de risque
1. Aucun risque (par exemple, un support crypté avec des clés fiables, les clés ne sont pas compromises) → la comptabilisation de l'incident dans le journal, sans notification externe.
2. Risque (il y a une probabilité de préjudice) → notification à l'organisme de réglementation dans les délais prescrits.
3. Un haut risque (le dommage considérable est probable : les finances, la santé, les enfants, les fuites massives, les groupes vulnérables) → en supplément l'avis des sujets par la langue claire et sans retard.
5) Délais de notification (points de référence pour les régimes clés)
UE/EEE (RGPD) : le responsable du traitement en informe le régulateur dans les 72 heures suivant la connaissance de la fuite ; les sujets sont « sans retard excessif » si le risque est élevé.
UK GDPR/ICO : similaire 72 heures au régulateur ; conserver un registre des incidents.
Canada (LPRPDE) : à l'organisme de réglementation et aux entités - dès que possible, si le « risque réel de préjudice important » ; tenir un registre pendant au moins 24 mois.
Singapour (PDPA) : dans le PDPC - dès que possible, au plus tard 3 jours après la fin de l'évaluation ; aux sujets - sans retard avec le risque de dommages significatifs.
Brésil (LGPD) : régulateur et entités - « dans un délai raisonnable » ; le point de référence est le plus tôt possible après confirmation.
Les Émirats arabes unis (FDU). PDPL )/ADGM/DIFC : dans la plupart des cas, notification au régulateur dans les 72 heures ~ à haut risque.
Australie (NDB) : évaluation dans un délai maximum de 30 jours ; la notification « dès que possible » après confirmation de l'incident « à signaler ».
États-Unis (lois à plein temps) : les délais varient (souvent « sans retard injustifié », parfois fixes de 30 à 60 jours). Seuils en termes de volume et de type de données, notification au Procureur général/agences en cas d'incidents majeurs.
Inde (DPDP) : notifications au régulateur/entités - selon la procédure établie par le régulateur ; agir rapidement une fois identifié.
6) Ce qui doit être dans les notifications
Au régulateur :- une brève description de l'incident et une chronologie ;
- les catégories et la quantité approximative de données et d'entités touchées ;
- les conséquences probables ;
- les mesures prises ou proposées (atténuation, prévention de la répétition) ;
- le contact DPO/groupe responsable ;
- statut : communication préliminaire avec mention d'un complément ultérieur (si tous les faits ne sont pas établis).
- ce qui s'est passé en termes simples et quand ;
- Quelles sont les données les concernant et quelles sont les conséquences possibles ;
- ce qui a déjà été fait (verrous, changement de clé, rotation forcée des mots de passe, etc.) ;
- ce que l'utilisateur peut faire (2FA, changement de mot de passe, suivi des comptes/historique de crédit) ;
- les canaux de soutien, les services gratuits (par exemple, la surveillance du crédit en cas de fuite de données financières).
7) Délai de notification admissible
Dans un certain nombre de régimes, il est possible de différer la notification à la demande des organismes d'application de la loi si la divulgation immédiate entrave l'enquête. Fixez la base et la date limite par écrit.
8) Cryptage et « port de sécurité »
De nombreuses lois exemptent les sujets de notification si les données ont été cryptées en toute sécurité et que les clés ne sont pas compromises. Documenter les algorithmes/gestion des clés ; appliquez la technique. justification du registre de l'incident.
9) Procédure de réponse : Temporelle des « premières 72 heures »
T0–4 ч.
Activer le plan IR ; nommer des leaders (SIRT, avocat, PR, DPO).
Isolation du vecteur d'attaque, collecte des artefacts (logs, vides), fixation du temps système.
Qualification primaire : données personnelles ? quelles sont les catégories ? volume ? la géographie ? les entrepreneurs ?
T4–24 ч.
Évaluation des risques : impact sur les droits et libertés ; enfants/finances/santé.
Décision : avis au régulateur ? (si c'est le cas, nous préparons un « préavis »).
Brouillon de notification aux sujets + FAQ pour le sapport ; PR-messeji.
Vérification des sous-traitants/processeurs : demande de rapports, journaux d'événements.
T24–72 ч.
Envoyer une notification au régulateur (si nécessaire) ; Loger l'envoi.
Finalisation d'un ensemble de mesures d'atténuation (changement de mot de passe forcé, rotation des clés, limites de temps des opérations, 2FA).
Préparation d'une déclaration publique (le cas échéant), lancement d'une ligne téléphonique/bot.
Après 72 heures
Rapports supplémentaires au régulateur au fur et à mesure ; L'après-mortem ; mise à jour des politiques et des contrôles.
10) Gestion des entrepreneurs et de la chaîne de traitement
Contrats DPA/responsabilités du processeur : « notification immédiate », canaux de contact 24/7, SLA pour le rapport primaire (par exemple 24 heures).
Droit du responsable de l'audit/vérification des mesures de protection.
Enregistrement obligatoire de tous les incidents de l'entrepreneur et des mesures prises.
Étendre les obligations aux sous-processeurs.
11) Catégories spéciales et groupes à risque
Les enfants, la santé, la finance, la biométrie, les qualifications - presque toujours un risque élevé → la notification prioritaire des sujets.
Les fuites combinées (PII + les kredy/jetons) → la rotation immédiate forcée et le jeton-invalidirovanie.
Géo-spécificité : certains États/pays exigent que les bureaux de crédit/ombudsman soient informés à grande échelle.
12) Contenu et forme des communications
Langage clair (B1), sans jargon technique.
Personnaliser les appels si possible ; sinon - l'annonce publique et e-mail/push combiné.
Chaînes : e-mail + SMS/push (en cas de criticité) + bannière sur le compte ; pour les cas de masse - poste public et FAQ.
N'incluez pas de liens similaires au phishing dans vos e-mails ; proposez un chemin via le site officiel/l'application.
13) Documentation et conservation des dossiers
Journal des incidents : date/heure, détection, classification, décision de notation et justification de celle-ci, textes des notifications, listes de diffusion, preuves d'envoi, réponses réglementaires, mesures de remédiation.
Durée de conservation - selon le mode (par exemple, la LPRPDE - au moins 24 mois ; autrement - durée interne de 3 à 6 ans).
14) Sanctions et responsabilité
Les amendes imposées par les régulateurs (dans l'UE - sont importantes en cas d'irrégularités systémiques ou de non-respect des délais) ;
Les actions en justice des entités, les ordonnances de modification des pratiques de sécurité ;
Obligations de surveillance et de signalement après l'incident.
15) Erreurs types
Retard dû au « perfectionnisme » : attendre un tableau complet au lieu d'un préavis en temps opportun.
Sous-estimation des risques indirects (phishing suite à une fuite d'e-mail + NOM).
Manque de cohérence entre les équipes (avocats/RP/sécurité/soutien).
Contacts non pertinents des régulateurs et « Country Matrix ».
Ignorer les obligations contractuelles des processeurs et sous-processeurs.
16) Chèque de disponibilité (avant l'incident)
1. Approuver la politique de responsabilité d'incident avec des rôles et des canaux 24/7.
2. Désigner un DPO/responsable et des personnes de confiance pour communiquer avec les organismes de réglementation.
3. Préparer la matrice de pays : délais, destinataires, seuils, formulaires.
4. Modèles de lettres prêtes à l'emploi : Régulateur, sujets, médias, FAQ pour Sapport.
5. Mettre à jour le registre des traitements, la carte de données et la liste des processeurs/sous-processeurs.
6. Travailler les exercices de table-top une fois tous les 6 à 12 mois.
7. Inclure dans la DPA : « notification dans les X heures », rapport primaire obligatoire, vérification des logs.
8. Activer le chiffrement au repos et en transit, la gestion des clés, la rotation des secrets.
9. Surveiller les anomalies d'accès aux données et les alertes automatiques.
10. Préparer le PR-playbook et la politique des déclarations publiques.
17) Mini-matrice des juridictions (référence consolidée)
(La matrice est le point de référence. Vérifiez les normes actuelles avant de les appliquer.)
18) Modèles de documents (garder dans le référentiel)
Incident Response Policy + Runbook 72h
Data Breach Notification — Regulator (draft/preliminary/final)
Data Breach Notification — Individuals (e-mail/SMS/баннер/FAQ)
Press Statement & Q&A
Formulaire de rapport Breach du processeur (pour les entrepreneurs)
Lessons Learned / Post-mortem template
Country Matrix. xlsx (contacts des régulateurs, délais, seuils)
19) Conclusion
Le passage réussi du « couloir juridique » en cas de fuite est la vitesse + documentation + communication transparente. Le principe est simple : un préavis rapide, des instructions compréhensibles pour les utilisateurs, une coordination claire avec les régulateurs et les entrepreneurs, puis la clarification des détails au fur et à mesure de l'enquête. Des exercices réguliers et un ensemble de modèles à jour réduisent les risques juridiques et de réputation au moment le plus critique.