Qu est-ce qu une violation de donnees personnelles ?
Une violation de donnees personnelles est definie par l article 4 du RGPD comme une faille de securite entrainant, de maniere accidentelle ou illicite, la destruction, la perte, l alteration, la divulgation non autorisee ou l acces non autorise a des donnees personnelles. Cette definition couvre un spectre tres large d incidents.
Les violations les plus courantes incluent les cyberattaques (ransomware, phishing), les erreurs humaines (envoi d un email au mauvais destinataire, perte d une cle USB), les defaillances techniques (panne de serveur sans sauvegarde) et les actes malveillants internes. Toute atteinte a la confidentialite, a l integrite ou a la disponibilite des donnees constitue une violation.
L obligation de notification a la CNIL
L article 33 du RGPD impose au responsable de traitement de notifier toute violation de donnees a la CNIL dans un delai de 72 heures apres en avoir pris connaissance. Ce delai court a partir du moment ou le responsable de traitement a une certitude raisonnable qu un incident de securite affectant des donnees personnelles s est produit.
La notification n est pas obligatoire lorsque la violation n est pas susceptible d engendrer un risque pour les droits et libertes des personnes concernees. Par exemple, la perte d un fichier chiffre dont la cle de dechiffrement est securisee peut ne pas necessiter de notification.
Le contenu de la notification CNIL
La notification a la CNIL doit contenir plusieurs informations obligatoires. Il faut decrire la nature de la violation, en precisant les categories et le nombre approximatif de personnes concernees, ainsi que les categories et le nombre approximatif d enregistrements de donnees touches.
Le responsable de traitement doit communiquer le nom et les coordonnees du DPO ou d un autre point de contact. Il doit decrire les consequences probables de la violation et les mesures prises ou envisagees pour y remedier, y compris les mesures pour en attenuer les effets negatifs.
La CNIL met a disposition un teleservice de notification en ligne accessible 24 heures sur 24. Si toutes les informations ne sont pas disponibles dans les 72 heures, une notification initiale peut etre faite, suivie de notifications complementaires.
L obligation d information des personnes concernees
Lorsque la violation est susceptible d engendrer un risque eleve pour les droits et libertes des personnes, le responsable de traitement doit egalement informer les personnes concernees dans les meilleurs delais. Cette communication doit etre redigee en des termes clairs et simples.
L information des personnes n est pas necessaire dans trois cas : si les donnees etaient protegees par des mesures de chiffrement, si des mesures ulterieures ont ete prises pour supprimer le risque eleve, ou si l information individuelle exigerait des efforts disproportionnes (dans ce cas, une communication publique est requise).
Le registre des violations
Independamment de la notification a la CNIL, le RGPD impose de documenter toute violation de donnees dans un registre interne. Ce registre doit contenir les faits concernant la violation, ses effets et les mesures prises pour y remedier. Il doit etre tenu a disposition de la CNIL en cas de controle.
Le registre des violations est un outil essentiel de conformite. Il permet de demontrer que l organisme prend au serieux la securite des donnees et qu il est en mesure de reagir efficacement aux incidents. Meme les violations mineures qui ne necessitent pas de notification doivent y figurer.
Les sanctions en cas de manquement
Le defaut de notification d une violation de donnees a la CNIL constitue un manquement passible de sanctions. L amende peut atteindre 10 millions d euros ou 2 % du chiffre d affaires annuel mondial. La CNIL a deja sanctionne plusieurs organismes pour des notifications tardives ou incompletes.
Au-dela des sanctions financieres, une mauvaise gestion d une violation de donnees peut avoir des consequences reputationnelles importantes. La transparence et la rapidite de reaction sont essentielles pour maintenir la confiance des clients et partenaires.
Les bonnes pratiques de preparation
Anticipez les violations en mettant en place une procedure de gestion des incidents. Designez une equipe de reponse aux incidents, definissez les roles et responsabilites, et prevoyez des scenarios de crise. Testez regulierement votre procedure avec des exercices de simulation.
Formez vos collaborateurs a detecter et signaler les incidents de securite. Plus un incident est detecte rapidement, plus les mesures correctives peuvent etre mises en place efficacement et plus le respect du delai de 72 heures sera facilite.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
