Que faire en cas de Cyberattaque, payer l’amende des cybercriminels ou déclarer la violation ?
D’après un sondage récent, 1/3 des DSI seraient prêts à payer une rançon à des cybercriminels plutôt que de signaler la violation de donnée aux autorités et donc espérer éviter une sanction liée au RGPD.
Très mauvaise idée !
Au-delà du risque de double peine (rançon + amende), cela risque d’être sévèrement puni. UBER en a fait les frais : l’ICO et la DPA (équivalents de la CNIL en Angleterre et aux Pays-Bas) viennent d’infliger, fin novembre, plus d’1 million d’euros d’amende à UBER pour n’avoir pas signalé une violation de données de ses utilisateurs intervenue en 2016 et de ne pas avoir suffisamment protégé ces données.
A noter que, encore une fois, cette amende est pré-RGPD, cela explique le faible montant de la sanction au vue du nombre de données violées (57 millions de personnes concernées).
Ces six derniers mois ce sont plus de 1000 notifications de violations de données qui ont été déclarées à la CNIL, UBER aurait probablement été moins sanctionné si il avait notifié la violation ; c’est en tout cas le message que semblent vouloir faire passer les autorités de contrôle.