Violation des données et Obligation de Notification
Le Règlement Général sur la Protection des Données (RGPD) définit une violation de données à caractère personnel comme : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée (…) ou l’accès non autorisé » à des données à caractère personnel transmises, conservées ou traitées.
Lorsque vous êtes responsable du traitement de données, et que vous constatez ou êtes informé que la sécurité de données que vous traitez a été compromise, le RGPD vous impose de réagir. Vous devez notifier l’autorité de contrôle compétente (en France : la Cnil) : « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ».
Lorsque vous agissez en qualité de sous-traitant au sens du RGPD, vous devez aider le responsable du traitement à remplir ses obligations. Il est donc probable que le contrat qui vous lie au responsable du traitement stipule un délai de notification inférieur à 72h en cas de violation de données. Il s’agit dans ce cas précis d’une notification au responsable du traitement.
Violation de données personnelles – premières réactions.
En première lieu, il vous faut déterminer l’origine de la violation en vous posant une série de questions, parmi lesquelles :
Quelle est l’origine de la découverte de la violation (en interne par un de vos employés ou suite à une notification d’un tiers) ?
La violation de données a-t-elle été résolue ou est-elle toujours en cours ?
Quelle est son origine : s’agit-il d’une attaque extérieure, d’un défaut de sécurité interne ou d’une mauvaise gestion des données ?
Il est tout particulièrement important de vous assurer que les causes de la violation ont pris fin et si ce n’est pas le cas, de mettre en œuvre les moyens nécessaires à leur disparition, dans la mesure du possible.
Une fois ces questions résolues, il est nécessaire de passer à l’étape principale : la cartographie de la violation de données.
Violation de données personnelles – cartographie de la situation
Afin de résoudre la faille éventuelle de sécurité et remplir vos obligations au regard du RGPD, vous pouvez vous appuyer sur l’article 33 du RGPD qui précise les informations que vous devrez transmettre à l’autorité de contrôle, et que vous devez donc identifier.
Vous devez ainsi déterminer :
La quantité de données concernées et les catégories d’appartenance de ces données. Par exemple, dans une base contenant mille données personnelles, il peut être distingué entre les données relatives au nom et prénom, celles relatives au numéro de téléphone ou celles relatives à des informations très spécifiques, comme lq pratique d’une activité extra-professionnelle, un cursus scolaire, une profession, etc.
Le nombre de personnes concernées par cette violation, et les catégories de personnes. Par exemple, dans le cas d’un forum, il est nécessaire de déterminer le nombre de personnes dont les données sont concernées par la violation, et parmi ces personnes, de distinguer si certaines sont mineures ou constituent des personnes sensibles au sens de l’article 9 du RGPD.
Un niveau fin de description est à privilégier.
Il permettra ultérieurement de déterminer avec plus de précision si la notification aux personnes concernées est nécessaire.
Il vous permet également d’envisager les conséquences probables de la violation de données à caractère personnel.
Ce travail est à mener en impliquant votre DPO lorsqu’il en a été nommé un, mais également au moins un représentant des équipes métiers concernées et de la sécurité informatique. Vous devez pouvoir envisager toutes les situations, ainsi que les conséquences sur les traitements de données qui ne seraient initialement pas concernés.
Violation de données personnelles – Notification à la Cnil
Au fur et à mesure que vous construisez la cartographie de la violation de données et des traitements et données concernés, vous devez préparer la notification à la Cnil.
Visée à l’article 33 du RGPD, la notification à l’autorité de contrôle compétente doit comprendre, au minimum :
La nature de la violation (perte de confidentialité/ intégrité/ disponibilité) ;
La quantité approximative et les catégories d’enregistrements de données concernées ;
Le nombre approximatif et les catégories de personnes concernées ;
Le nom et les coordonnées d’un interlocuteur au sein de l’entreprise (du DPO s’il en a été désigné un) ;
Une description des conséquences probables de la violation de données ;
Une description des mesures prises ou envisagées pour y remédier et en atténuer les éventuelles conséquences négatives, lorsque cela est possible.
Plus le registre des traitements de données et la cartographie des traitements auront été réalisés de manière détaillée, plus le processus devrait être rapide.
La Cnil met à disposition sur son site Internet un lien vers le questionnaire à compléter avec :
Les informations permettant l’identification du responsable du traitement ;
Les informations permettant l’identification des éventuels sous-traitants ou organismes impliqués ;
Les dates de début, de découverte et de fin de la violation (lorsqu’elles sont connues) ;
Les circonstances de la découverte de la violation ;
L’origine de l’incident (à choisir parmi une liste de propositions) ;
La présence de données sensibles parmi les données concernées ;
Les informations visées à l’article 33 du RGPD.
Ce document est horodaté. La Cnil peut solliciter d’autres informations ainsi que des précisions.
Dans l’hypothèse où vous n’êtes pas en mesure de fournir toutes les informations demandées au moment de la notification, vous pouvez les communiquer ultérieurement.
La notification doit cependant avoir lieu dans un délai recommandé de 72h maximum, sauf circonstances exceptionnelles que vous devrez motiver en cas de déclaration tardive.
Violation de données personnelles – Notification aux personnes concernées
Lors de l’état des lieux consécutif à la découverte de la violation de données, il convient également de s’interroger sur la nécessité d’informer les personnes concernées de la survenance de la violation.
Ce choix doit être communiqué à la Cnil, qui peut y procéder elle-même, ou demander au responsable du traitement de procéder à la notification.
Cette notification est obligatoire lorsque la violation de données est ; « susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ». Elle n’est donc pas systématiquement obligatoire mais doit être suffisamment réfléchie pour pouvoir être motivée auprès de la Cnil.
Cette communication doit être claire et simple et mentionner au minimum :
Le nom et les coordonnées d’un interlocuteur au sein de l’entreprise (du DPO s’il en a été désigné un) ;
Une description des conséquences probables de la violation de données ;
Une description des mesures prises ou envisagées pour y remédier et en atténuer les éventuelles conséquences négatives, lorsque cela est possible.
Violation de données personnelles – Exception aux principes de notification obligatoire
Il existe deux principales exceptions aux obligations de notification.
La première concerne la notification à l’autorité de contrôle compétente. Il est en effet obligatoire de notifier une violation de données à la Cnil, « à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».
La seconde concerne l’obligation de notification aux personnes physiques concernées par la violation de données. L’article 34(3) du RGPD dispose ainsi que la communication n’est pas nécessaire dans trois cas particuliers :
Elle exigerait des efforts disproportionnés (mais dans ce cas, le RGPD prévoit qu’une autre forme de communication doit être mise en œuvre, par exemple, une communication publique) ; ou
Le responsable du traitement a mis en œuvre des mesures, postérieurement à la violation, qui garantissent que le risque élevé pour les droits et libertés des personnes n’est plus en mesure de se matérialiser ; ou
Les mesures de protection technique et organisationnelles mises en œuvre sur les données avant la violation de données rendent celles-ci incompréhensibles pour toute personne non-autorisée à y accéder.
En toute circonstance, la nature spécifique du traitement de données ayant subi la violation doit être prise en compte. Certains traitements peuvent en effet contenir des informations d’un niveau de sensibilité plus important que d’autres (opinions politiques, croyances religieuses, appartenance syndicale, etc.) alors même que le traitement en lui-même ne porte pas sur ces domaines.
A titre d’exemple, la Cnil a déjà pu mettre en demeure des sites de rencontre qui collectaient l’origine ethnique ou la religion de leurs membres.
Pour tout renseignement, n’hésitez pas à nous contacter.
Pour connaître nos offres, cliquez ici.
