EA SPORTS, éditeur du très célèbre jeu de football FIFA, a connu très récemment une faille de sécurité ayant causé la fuite des données de plus de 1600 joueurs.

Afin de pouvoir participer à la célèbre compétition FIFA 20 Global series, il a été demandé aux joueurs de s’inscrire / se connecter au site EA Sports. Quel n’a pas été leur étonnement de constater que les champs à remplir présentaient les données personnelles des autres utilisateurs. Ont ainsi été révélées les noms, dates de naissance, pays de résidence, noms d’utilisateur et de consoles et adresses email de plus de 1600 participants. Le problème, signalé par la communauté de joueurs, a très rapidement été corrigé par l’éditeur qui a aussitôt fermé la page d’inscription.

Cette fuite de données personnelles dont l’ampleur a été promptement limitée est l’occasion de revenir sur les gestes à suivre en cas de survenance d’une faille de sécurité.

Constatation et cantonnement de la faille de sécurité

En cas de détection d’une faille de sécurité, il faut immédiatement évaluer le risque de sécurité et ses éventuelles conséquences, et les stopper. Lors de la phase de cantonnement de la faille de sécurité, il est important que les opérationnels pensent à documenter ce qu’ils font et ce qu’ils constatent. A ce titre, il est recommandé de mettre en place, en amont, des fiches de reporting.

Mise en œuvre du plan d’action par les divers intervenants au sein de la société

Il est important de disposer de documents anticipant la gestion d’une faille de sécurité et au moins :

  • Un PCA / PRA, qui prévoit ce que doivent faire les différentes composantes de la société (DSI, DRH, les commerciaux, etc…), en cas de sinistre, y compris informatique ;
  • Une procédure relative aux failles de sécurité, propres aux sinistres informatiques, qui va préciser ce que chaque intervenant (DG, DPO, DSI, avocat, etc…) doit faire concrètement et rapidement à compter de la découverte de la faille de sécurité.

Ces deux documents peuvent être demandés par la CNIL dans le cadre d’un contrôle.

Notification de la faille de sécurité :

Il existe deux notifications différentes qu’il ne faut surtout pas confondre :

  • toute faille de sécurité doit être notifiée à la CNIL (et aussi à l’autorité de régulation du secteur d’activité concerné, par exemple, l’ASIP pour le milieu de la santé) ;
  • toute faille de sécurité susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées doit être également notifiée aux personnes concernées lorsque l’impact sur ces personnes est conséquent.

En d’autres termes, il est toujours obligatoire de notifier à la CNIL, alors qu’il est rarement obligatoire de notifier aux personnes concernées. Il existe de nombreuses voies d’interprétation que les intervenants de la société (DG, DPO, DSI, avocat, etc…) doivent prendre en compte avant de prendre la décision difficile de notifier aux personnes concernées.

La procédure relative aux failles de sécurité doit préciser les modèles de notification, les délais et les éléments de réflexion concernant la notification éventuelle aux personnes concernées.

Mise en place d’actions post incident :

Il est conseillé de mener diverses actions post incident qui bien que n’ayant pas un caractère urgent propre à la gestion de l’incident s’inscrivent dans une démarche de conformité au GDPR et de minimisation des risques et des coûts liés aux failles de sécurité. Ces actions pourront se traduire par la mise en place et la tenue d’un registre des violations, un journal d’historisation des failles de sécurité ainsi que diverses démarches auprès de compagnies d’assurance.