La Commission nationale de l'informatique et des libertés (Cnil) a précisé les règles à respecter pour procéder à une recherche sur internet de fuites d’informations (Rifi).Toute entreprise peut procéder à une recherche sur internet de fuites d’informations (Rifi) afin de détecter une fuite de données, qui peut être accidentelle ou intentionnelle et malveillante.
Pour cela, il faut analyser le web de manière automatisée, afin de vérifier si des informations, préalablement identifiées par le biais de mots-clés, ont été rendues publiques.
Le 11 janvier 2022, la Commission nationale de l'informatique et des libertés (Cnil) a précisé les règles qui doivent être respectées par les organismes qui décident de recourir à la Rifiet les prestataires de Rifi afin de mettre en place des pratiques respectueuses du règlement (UE) 2016/679 du 27 avril 2016 (règlement général sur la protection des données - RGPD).
Il faut d'abord répartir les rôles et responsabilités des acteurs.
Ensuite, il faut s’assurer que la Rifi est autorisée, c'est-à-dire qu'elle respecte les bases légales prévues par le RGPD et notamment les 6 principes suivants :- justifier d’un intérêt légitime à faire une Rifi ;- démontrer que la Rifi est nécessaire pour atteindre l’objectif visé ;- assurer un juste équilibre entre l’intérêt de l’organisme qui utilise la Rifi et les droits des personnes dont les données personnelles sont traitées ;- définir une durée de conservation des données limitées ;- utiliser tous les moyens pour ne pas collecter des données non pertinentes ;- respecter les droits des personnes.
Enfin, il faut apporter des garanties afin de limiter les conséquences d’une opération de Rifi sur les droits des personnes concernées :- lors de la définition des mots-clés de recherche ;- lors de la phase de recherche ;- en cas de données de fuite identifiées par une Rifi.
