Une entreprise qui souhaite vérifier si les données qu’elle a collectées ont été rendues publiques par inadvertance ou malveillance peut faire appel à un prestataire pour effectuer une recherche sur Internet de fuites d’informations (RIFI). Quelles sont les conditions à respecter ?
RGPD et RIFI : les conditions à respecter
La recherche sur Internet de fuites d’informations (RIFI) est une technique d’analyse automatique du Web. Elle permet à un organisme de vérifier si les données qu’il a collectées ont été rendues publiques par inadvertance ou en raison d’un acte malveillant.
Cette opération porte donc sur l’analyse d’un important volume de données comprenant également des données personnelles. Pour cette raison, les prestataires effectuant une RIFI doivent impérativement respecter le Règlement général sur la protection des données (RGPD).
La commission nationale de l’informatique et des libertés (CNIL) rappelle qu’il est important de répartir les rôles et responsabilités des acteurs intervenant dans le cadre de la RIFI. A titre d’exemple, l’entreprise qui effectue cette recherche par l’intermédiaire d’un prestataire reste seule responsable du traitement de données.
De plus, elle précise également les points importants sur lesquels les organismes et leurs prestataires doivent être particulièrement vigilants :
- la RIFI doit être justifiée par un intérêt légitime ;
- elle doit être nécessaire pour atteindre l’objectif souhaité et l’entreprise souhaitant recourir à cette technique doit montrer qu’elle ne dispose pas d’autres moyens moins intrusifs ;
- la durée de conservation des données collectées dans le cadre de la RIFI doit être limitée ;
- la mise en place de moyen permettant de ne collecter que les données pertinentes est nécessaire et aucune donnée sensible ne doit pouvoir être collectée grâce à la RIFI. Toutefois, si certaines de ces données sont quand même collectées, elles devront être supprimées sans tarder ;
- les droits des personnes concernées doivent être respectés (droit à une information claire, droit de s’opposer à l’utilisation des données, droit de rectification des informations inexactes, etc.).
Source : Communiqué de presse de la CNIL du 11 janvier 2022
RGPD : qu’est-ce qu’une opération de RIFI ? © Copyright WebLex – 2022