Crise Harvest : communiqué des associations de CGP

Incident Harvest : COMMUNIQUÉ ADHÉRENTS CNCGP

A l'attention des adhérent(e)s de la CNCGP utilisant les solutions Harvest

Chères adhérentes, chers adhérents,

Vous avez très certainement été informés par la société Harvest d'un incident de sécurité affectant la disponibilité de l'ensemble de leurs services (notamment O2S, Big Expert, Quantalys, Fidnet, MoneyPitch, etc.)

Voici quelques recommandations sur la conduite à tenir dans cette situation.

1. Faut-il notifier la CNIL ?

Nous avons eu confirmation de la part de la CNIL que l'indisponibilité des données personnelles des clients constitue une violation de données personnelles qui doit faire l'objet d'une notification de votre part en tant que responsable de traitement.

Vous devez procéder à une notification auprès de la CNIL même si Harvest a déjà communiqué en tant que sous-traitant. Par ailleurs, si vous ne disposez pas de l'ensemble des informations qui doivent être portées à la connaissance de la CNIL, ces informations peuvent être communiquées de manière échelonnée.

Votre notification initiale doit obligatoirement être réalisée dans les meilleurs délais par le téléservice de la CNIL disponible à l'adresse https://notifications.cnil.fr/notifications/index.

Le document récapitulatif de votre notification initiale à la CNIL doit être conservé. Il permet de répondre à l'obligation de documentation interne.

2. Faut-il communiquer auprès des clients ?

À ce jour, il n'est pas avéré que les données personnelles des clients soient compromises. L'incident est toujours en cours d'investigation et il n'est pas établi que la violation engendre un risque élevé pour les personnes concernées. Vous n'avez donc pas, pour le moment, d'obligation d'informer vos clients de l'incident.

3. Comment assurer mes missions d'information et de conseil auprès de mes clients ?

Il vous faudra poursuivre votre activité sans pouvoir utiliser vos outils habituels, par exemple :

⚫ en accédant directement aux extranets des assureurs et autres fournisseurs avec vos codes d'accès ;
⚫ en utilisant les modèles au format Word de la CNCGP pour ce qui est du parcours client (ces modèles sont disponibles dans l'espace adhérent sous la rubrique "Réglementation et contrôle" puis "Kit réglementaire").

4. Faut-il faire une déclaration de sinistre au titre de l'assurance RCP ?

Il n'est pas nécessaire de procéder à une déclaration de sinistre en l'absence de mise en cause de votre responsabilité professionnelle par un tiers.

5. Savons-nous quand les services de Harvest seront à nouveau disponibles ?

Nous n'avons pas d'information supplémentaire à ce sujet. Harvest communiquera en temps utile auprès des clients des différents services concernés.

La CNCGP vous tiendra également informés si de nouvelles mesures sont à prendre en fonction de l'évolution de la situation.

COMMUNIQUÉ ANACOFI - Association Nationale des Conseils Financiers

? CYBERATTAQUE HARVEST ?

Les données étant inaccessibles, les CGP doivent en notifier la CNIL même si HARVEST l'a déjà fait en tant que sous-traitant.