Qu’est-ce qu’une violation de donnees personnelles ?
L’article 4 du RGPD definit la violation de donnees personnelles comme une violation de la securite entrainant, de maniere accidentelle ou illicite, la destruction, la perte, l’alteration, la divulgation non autorisee de donnees personnelles, ou l’acces non autorise a de telles donnees.
Les violations ne se limitent pas aux cyberattaques. L’envoi d’un email au mauvais destinataire, la perte d’une cle USB non chiffree, un cambriolage avec vol d’ordinateurs, une faille de securite sur un serveur web, ou meme la suppression accidentelle de donnees sans sauvegarde constituent des violations de donnees personnelles.
Les premieres heures apres la decouverte de l’incident
Des la decouverte de l’incident, le DPO doit etre immediatement informe. Il coordonne la reponse a l’incident en lien avec la direction des systemes d’information et la direction generale. La premiere priorite est de contenir l’incident pour limiter son impact : isoler les systemes compromis, couper les acces non autorises, preserver les preuves.
Le DPO doit qualifier l’incident : s’agit-il bien d’une violation de donnees personnelles au sens du RGPD ? Quelles categories de donnees sont concernees ? Combien de personnes sont affectees ? Quelles sont les consequences potentielles pour les personnes concernees ? Cette qualification determine les obligations de notification.
La notification a la CNIL
Toute violation de donnees personnelles susceptible d’engendrer un risque pour les droits et libertes des personnes physiques doit etre notifiee a la CNIL dans les 72 heures suivant la prise de connaissance de la violation. Ce delai court a partir du moment ou le responsable de traitement a un degre de certitude raisonnable qu’un incident de securite s’est produit et a compromis des donnees personnelles.
La notification s’effectue en ligne sur le site de la CNIL via le teleservice dedie. Elle doit decrire la nature de la violation, les categories et le nombre approximatif de personnes concernees, les consequences probables, et les mesures prises ou envisagees pour y remedier. Si toutes les informations ne sont pas disponibles dans les 72 heures, une notification initiale peut etre completee ulterieurement.
La communication aux personnes concernees
Lorsque la violation est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes physiques, le responsable de traitement doit egalement informer les personnes concernees dans les meilleurs delais. Cette communication decrit en termes clairs la nature de la violation et les mesures que les personnes peuvent prendre pour se proteger.
La communication directe aux personnes concernees n’est pas requise si le responsable de traitement a mis en oeuvre des mesures de protection rendant les donnees incomprehensibles (chiffrement), s’il a pris des mesures ulterieures garantissant que le risque eleve ne se materialisera plus, ou si la communication individuelle exigerait des efforts disproportionnes (auquel cas une communication publique est possible).
Le registre des violations
L’article 33 paragraphe 5 du RGPD impose au responsable de traitement de documenter toute violation de donnees personnelles, y compris celles qui n’ont pas ete notifiees a la CNIL. Le registre des violations doit mentionner les faits concernant la violation, ses effets et les mesures prises pour y remedier. Ce registre peut etre controle par la CNIL a tout moment.
