Un risque pour la sécurité et la confidentialité des données personnelles peut être identifié en interne, rendu publique ou notifié au responsable de traitement par un tiers.
Les demandes de bug bounty sont devenues fréquentes aujourd’hui et il n’est pas rare de recevoir des emails mentionnant une éventuelle faille de sécurité et sollicitant le paiement volontaire d’une « récompense » pour cette information.
Dans certains cas, les notifications externes peuvent également faire suite à la découverte de la faille en interne, et donner lieu à des menaces de communication au public.
Nous avons ainsi eu à traiter, en parallèle d’une procédure de résolution d’incident, les demandes répétées d’un tiers se présentant sous une identité fantaisiste.
Celui-ci menaçait de communiquer les informations à sa disposition sur la faille identifiée dans le système informatique de notre client s’il ne recevait pas une contrepartie financière.
La faille ayant été rapidement identifiée et sécurisée par les équipes internes de notre client, la question s’est posée de la suite à donner aux demandes.
Les données personnelles concernées par la violation étaient très limitées en nombre et en nature, mais il a malgré tout été décidé de procéder à la notification de la Cnil.
Notre client était en mesure de documenter et justifier chacune des décisions prises. En cas de publication de la violation par le tiers menaçant, notre client aurait donc été en mesure de présenter une réponse démontrant son respect de la règlementation.
