Vous confirmez une violation exposant des données personnelles de clients, et le service juridique hésite à la divulguer. Que pilote le RSSI ?
Réponse courte
La gestion d'une violation est encadrée par la loi et le contrat : travailler avec le juridique pour respecter les délais de notification obligatoires (comme les 72 heures du RGPD vers l'autorité de contrôle) et informer les personnes concernées avec exactitude. La dissimulation expose à des amendes bien plus lourdes, à des sanctions et à une atteinte à la réputation lorsqu'elle est découverte. Diffuser prématurément des détails techniques bruts et non vérifiés peut induire les clients en erreur et aider les attaquants. Désigner publiquement un employé comme bouc émissaire n'est ni exact, ni légal, ni une gestion de crise efficace.
Une violation confirmée de données personnelles de clients n'est plus un événement purement technique — c'est un événement juridique et réglementaire. Le scénario teste si le RSSI comprend que les obligations de divulgation ne sont pas optionnelles et que « protéger la marque » en cachant la violation est le moyen le plus rapide de la détruire.
Pourquoi une divulgation légale et rapide est correcte
La plupart des juridictions imposent des obligations de notification de violation. Sous le RGPD, le responsable de traitement doit notifier l'autorité de contrôle dans les 72 heures après avoir pris connaissance d'une violation de données personnelles, et informer les personnes concernées « dans les meilleurs délais » en cas de risque élevé pour leurs droits. Le rôle du RSSI est de piloter la réponse à incident tout en travaillant avec le juridique pour cartographier chaque obligation applicable — régulateurs, clients, partenaires contractuels — et de divulguer avec exactitude, même lorsque le tableau se précise encore. Une divulgation honnête et par étapes (« voici ce que nous savons, voici ce que nous investiguons encore ») satisfait la loi et préserve la confiance.
Pourquoi les autres options échouent
- Garder le silence pour protéger la marque. La dissimulation est l'opposé de la protection. Elle transforme un incident gérable en violation réglementaire assortie d'amendes bien plus lourdes, et l'étouffement nuit généralement plus à la réputation que la violation elle-même.
- Publier immédiatement tous les détails techniques. Des diffusions prématurées et non vérifiées peuvent être fausses, induire les clients en erreur et offrir une feuille de route aux attaquants. La divulgation doit être exacte, pas seulement rapide et brute.
- Accuser publiquement un employé. Désigner un bouc émissaire est inexact (les violations sont généralement systémiques), juridiquement imprudent et corrosif pour la culture nécessaire à un signalement précoce.
Ce que l'examinateur cherche
Il veut voir que vous traitez la divulgation comme une obligation légale pilotée par le RSSI en partenariat avec le juridique, pas comme une décision de communication destinée à éviter l'embarras. La réponse mature concilie rapidité (le délai de 72 heures) et exactitude, résiste à l'instinct de cacher, et ne recourt jamais à un bouc émissaire. Le candidat faible optimise le confort de la marque à court terme — précisément ce que les régulateurs et les tribunaux sanctionnent.
Questions de suivi probables
- À quels régulateurs et parties contractuelles rattacheriez-vous les obligations de notification, et comment suivez-vous le délai ?
- Comment divulguer avec exactitude quand l'investigation est en cours et que les faits sont incomplets ?
- Quelle différence entre notifier une autorité de contrôle et notifier les personnes concernées ?