- En cas d'incident touchant des transactions ou des données de paiement, trois régimes de responsabilité s'appliquent simultanément : les schémas de paiement (Visa/Mastercard et leurs règles PCI), la réglementation RGPD si des données personnelles sont exposées, et le droit de la responsabilité civile vis-à-vis des clients affectés.
- Capital One (2019) illustre la multiplication des instances : SEC pour les investisseurs (omission d'information matérielle sur les risques), FTC pour les consommateurs (violation du FTC Act), OCC pour la conformité bancaire, et actions collectives privées — tous simultanément.
- La chaîne de responsabilité interne doit être définie avant l'incident : qui décide du paiement ou du refus de rançon, qui autorise la notification publique, qui communique avec les schémas de paiement, qui engage le PFI (Payment Card Industry Forensic Investigator).
- Les 72 heures de la notification RGPD commencent à courir à partir du moment où l'organisation "prend conscience" de l'incident — pas à partir du moment où l'incident est confirmé techniquement. Cette distinction peut être déterminante pour la qualification de la violation du délai.
- La PCI Forensic Investigation (PFI) est obligatoire après toute compromission suspectée d'environnements de données de carte — elle doit être engagée rapidement, même si l'incident n'est pas encore confirmé, pour ne pas dépasser les délais de préservation des preuves.
La gestion d'un incident de paiement mobilise simultanément des responsabilités organisationnelles, techniques, juridiques, et réglementaires dont la coordination doit être préparée avant l'incident. Une organisation qui découvre une compromission de ses systèmes de paiement un vendredi soir et qui n'a pas de plan de réponse préparé perd un temps précieux à clarifier les responsabilités internes pendant que les attaquants continuent d'opérer et que les délais réglementaires courent.
La préparation de la réponse aux incidents de paiement est donc une activité de prévention à part entière — aussi importante que les mesures de protection technique. Elle requiert une définition claire de la chaîne de décision, des procédures documentées pour chaque type d'incident, et des exercices réguliers pour s'assurer que cette préparation est opérationnelle au moment où elle est nécessaire.
Les trois régimes de responsabilité
Un incident touchant des données de paiement active simultanément trois régimes de responsabilité qu'il faut gérer en parallèle. Le régime PCI-DSS : notification obligatoire au PSP et à l'acquéreur dans les 24 heures suivant la suspicion d'un incident de compromission de données de carte, engagement d'un PFI (Payment Card Industry Forensic Investigator) dans les délais requis par l'acquéreur, et coopération complète avec l'investigation PCI dont les conclusions déterminent les amendes et les exigences de remédiation. Le régime RGPD : si des données personnelles (noms, emails, adresses associées aux données de paiement) sont exposées, notification à l'autorité de contrôle compétente dans les 72 heures, et notification aux personnes concernées si le risque est "élevé" pour leurs droits et libertés. Le régime de responsabilité civile : les clients affectés peuvent engager des actions en responsabilité — individuelles ou collectives — pour obtenir compensation des préjudices subis.
La chaîne de décision interne
La chaîne de décision interne pour un incident de paiement doit être définie et documentée avant que l'incident ne survienne. Les décisions clés qui ne peuvent pas être prises à chaud sans préparation : qui est habilité à confirmer qu'un incident justifie les notifications réglementaires (RSSI, DPO, Direction juridique) ? qui autorise la communication publique et dans quel délai ? qui prend la décision de payer ou refuser une rançon éventuelle, avec quel niveau de validation de la direction générale ? qui engage le PFI et avec quel mandat ? qui communique avec l'acquéreur et les schémas de paiement (généralement l'équipe finances ou trésorerie en lien avec le RSSI) ? Cette chaîne de décision, documentée dans le plan de réponse aux incidents, doit inclure des suppléants pour chaque rôle et les modes de contact hors heures ouvrables.
NotPetya a paralysé l'ensemble des systèmes Maersk, incluant les systèmes de facturation et de gestion des transactions commerciales. La reconstitution du réseau s'est réalisée en dix jours, guidée par une cellule de crise mobilisée en quelques heures. Ce cas illustre qu'une chaîne de commandement claire et une capacité à décider rapidement sous pression sont les déterminants de la vitesse de réponse. Maersk a pu mobiliser rapidement des centaines d'ingénieurs dans le monde entier pour la remédiation parce que les circuits de décision étaient clairs. Dans un incident de paiement, la même clarté de commandement est nécessaire pour gérer simultanément la remédiation technique, les notifications réglementaires, et la communication client.
La notification RGPD : le délai commence plus tôt qu'on ne le croit
La qualification du point de départ du délai de 72 heures de notification RGPD est une question juridique précise qui a des conséquences directes sur la conformité. Le RGPD stipule que la notification doit être faite "dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance". La "prise de connaissance" correspond au moment où l'organisation a une "certitude raisonnable" qu'un incident a eu lieu — pas nécessairement une confirmation technique complète. Une alerte de l'acquéreur signalant des transactions suspectes, un rapport d'un système de détection de fraude identifiant un pattern anormal, ou un message d'un chercheur en sécurité signalant une exposition de données : chacun de ces événements peut constituer une "prise de connaissance" déclenchant le délai. La procédure de traitement des alertes doit donc inclure une évaluation systématique de si l'alerte constitue une "prise de connaissance" au sens du RGPD, et si oui, démarrer le compte à rebours des 72 heures.
La PFI : engager l'investigation dans les délais
La PCI Forensic Investigation (PFI) est une investigation réalisée par un qualificateur accrédité PCI pour déterminer l'étendue d'une compromission potentielle de données de carte. Elle est obligatoire pour tout marchand de niveau 1 ou 2, ou tout marchand pour lequel l'acquéreur le requiert, dès lors qu'une compromission est suspectée. L'engagement du PFI doit être rapide — chaque heure qui passe après la découverte d'un incident réduit la quantité de preuves forensiques disponibles (logs roulants, mémoire RAM volatil, données de session). La liste des PFI accrédités par les schémas de paiement doit être identifiée à l'avance, le contrat cadre pré-négocié, et les conditions d'engagement clairement définies dans le plan de réponse aux incidents — pour ne pas perdre de temps à trouver un PFI au moment où chaque heure compte.
Equifax a été confrontée à des investigations simultanées de la FTC, du CFPB, de 50 procureurs d'États, du Congrès américain, et d'instances de protection des données étrangères (Royaume-Uni, Canada). La gestion simultanée de ces multiples instances — chacune avec ses propres exigences, délais, et interlocuteurs — a mobilisé des ressources juridiques et de communication considérables pendant des années. Ce cas illustre que la préparation de la réponse aux incidents doit inclure la capacité à gérer plusieurs instances réglementaires simultanément, avec des équipes dédiées par instance et une coordination centrale des positions et des communications.
EasyJet a notifié l'ICO (Information Commissioner's Office) conformément à ses obligations RGPD. L'investigation de l'ICO a abouti à une décision de conformité sans amende additionnelle, en partie parce que la notification avait été réalisée dans les délais et la coopération avec l'autorité avait été constructive. Ce cas illustre que la qualité de la gestion post-incident — notification rapide, coopération franche, mesures de remédiation démontées — influence directement la sévérité des sanctions réglementaires. Une réponse organisée et transparente est toujours plus favorable qu'une réponse tardive ou partielle.
Lapsus$ a publié les données Samsung sans demande de rançon préalable — un schéma qui ne laisse pas de temps pour des négociations. Samsung a dû gérer simultanément la communication sur la nature des données exposées (codes source, algorithmes de sécurité), les investigations sur les vecteurs de compromission, et les impacts sur ses partenariats commerciaux. Ce cas illustre la nécessité d'un plan de communication de crise pré-défini qui peut être activé rapidement, sans attendre la fin de l'investigation technique pour commencer à communiquer.