RGPD

Fuite de données via une clé USB perdue, plan d'action pour la première semaine

28 mai 2026 · 8 min de lecture · DeSnipperaar

Une collègue signale cet après-midi qu'elle ne retrouve plus une clé USB contenant des données clients. Peut-être oubliée hier dans le train, peut-être à l'accueil d'un client, peut-être tombée quelque part en chemin. Et maintenant ? Les heures qui viennent déterminent si cela devient un incident gérable ou un incident à notification obligatoire, avec plus de tracas que nécessaire.

Première heure, établir les faits

1. Qu'y avait-il dessus ? Quels documents, combien d'enregistrements, quelles catégories de données personnelles ? Le salarié sait souvent à peu près, pas exactement.
2. Était-elle chiffrée ? Avec BitLocker To Go, VeraCrypt, ou une clé chiffrée matériellement (IronKey, Kingston DT4000, etc.) ?
3. Vue pour la dernière fois quand ? Une chronologie aide à la recherche et à l'évaluation de la notification.
4. Vue pour la dernière fois où ? Train, accueil client, sac personnel, bureau personnel.
5. Existe-t-il une sauvegarde ? Pour le volet opérationnel, peut-on poursuivre le travail ?

Chiffrée ? Alors vous êtes souvent dispensé de notification

Si la clé USB est chiffrée matériellement avec une crypto forte et que le code PIN ou mot de passe n'a pas été perdu avec la clé, le chiffrement vaut comme « mesure technique appropriée ». L'AP a déjà jugé qu'un appareil chiffré perdu n'est généralement pas une fuite de données à notifier, à condition que le chiffrement fonctionne vraiment et que la clé soit conservée séparément.

Documentez.

• Type de chiffrement (AES-256 matériel, BitLocker To Go).
• Date du dernier changement de mot de passe.
• Preuve que la clé n'était pas stockée avec la clé USB.

Non chiffrée ? Suivez l'obligation de notification

Une clé USB non chiffrée contenant des données personnelles est une fuite de données qui est (presque toujours) soumise à notification. Suivez notre plan d'action fuite de données en 72 heures détaillé.

1. Déterminez la nature et l'ampleur.
2. Évaluation des risques. Y a-t-il des conséquences pour les personnes concernées ?
3. Notifiez l'autorité néerlandaise de protection des données (AP) sous 72 heures.
4. Évaluez si les personnes concernées doivent être informées (article 34 du RGPD).
5. Documentez tout dans le registre des fuites de données.

Premières 24 heures, recherche et atténuation

Recherche

• Demandez au salarié de refaire le trajet du dernier usage.
• Appelez l'accueil client où elle a été utilisée pour la dernière fois.
• Signalez aux objets trouvés des transports publics si pertinent.
• Vérifiez vos propres espaces de bureau.

Atténuation

• Mots de passe clients (si connus) signalés ou réinitialisés.
• Coordonnées bancaires. Prévenez le client, bloquez éventuellement la carte bancaire via le service de signalement de fraude.
• Données d'identité. Informez la personne concernée d'une vigilance face à la fraude à l'identité.
• Copies de BSN. Vigilance accrue. Lisez à propos du BSN et des données de patients pour le volet santé.

Jours 2 et 3, notification

1. Remplissez le formulaire en ligne sur autoriteitpersoonsgegevens.nl.
2. Mise à jour du registre des fuites de données. Nouvel incident et étapes.
3. Communication interne aux services concernés.
4. Évaluez si une notification aux personnes concernées est requise (en cas de risque élevé pour les droits et libertés).

Jours 3 à 7, leçons et prévention

Vient ici le volet prévention. Une fuite de données est l'occasion d'éliminer des risques similaires ailleurs.

1. Inventoriez toutes les clés USB de l'organisation. Beaucoup de salariés en ont une dans leur tiroir, oubliée depuis longtemps.
2. Fixez une politique. Les salariés peuvent-ils encore mettre des données personnelles sur une clé USB ? Ou seulement sur des clés chiffrées ? Ou pas du tout ?
3. Détruisez les anciennes clés USB. Lisez à propos de l'élimination des clés USB pour la voie DIN E.
4. Imposez le chiffrement via la stratégie de groupe.
5. Documentez dans le registre des fuites de données qu'une action préventive a été prise.

La plus grande erreur après une fuite de données est de seulement notifier sans agir de façon préventive. Une visite de l'AP demande « qu'avez-vous fait pour éviter la récidive ? ».

Le rôle de la destruction sur site après une fuite

Après une clé USB perdue, une destruction groupée de supports similaires est presque obligatoire. Elle vous apporte deux choses.

• La preuve que vous avez agi de façon préventive (pour une enquête de l'AP).
• Effectivement moins de risque de récidive.

Nous le faisons sur site sous 5 jours ouvrés après la demande. Le personnel remet ses clés USB dans un sac scellé, nous détruisons sur place au niveau DIN E-4. Pour le contexte plus large de ce qui n'a pas sa place dans le bac à papier, voir ce qui n'a pas sa place dans le conteneur à papier.

Prévention pour la prochaine fois

1. Politique. Pas de clés USB non chiffrées avec des données personnelles.
2. Clés chiffrées matériellement fournies par l'employeur.
3. Favorisez une alternative cloud. SharePoint, OneDrive, Box pour le partage de fichiers plutôt que le physique.
4. Inventaire annuel des clés USB et destruction des anciennes.
5. Au départ d'un salarié. Restitution standard de toutes les clés USB dans le cadre de l'off-boarding.

Note finale, quel est le risque réel ?

La plupart des clés USB perdues ne finissent pas entre les mains de quelqu'un qui les lit délibérément. Une clé USB trouvée dans la rue est souvent jetée dans une poubelle ordinaire ou utilisée comme une trouvaille personnelle sans inspecter le contenu antérieur. Le scénario réaliste n'est généralement pas « données aux mains de l'ennemi » mais « sort inconnu ». Sous le RGPD, ce dernier compte tout autant. Vous ne pouvez pas l'exclure, donc la prudence est de mise.

---

Vous avez subi une fuite de données ? Écrivez-nous via desnipperaar.nl pendant les heures de bureau pour une planification urgente d'une destruction de matériel similaire.