Comment évaluer le niveau de risque en cas de violation de données personnelles ?

15 Jan 2019
Anne-Sophie CASAL
1099
0

1- Quelles obligations du responsable du traitement en cas de violation de données personnelles ?

En cas de violation de données personnelles, le responsable du traitement est soumis à plusieurs obligations (articles 33 et 34 du RGPD) :

  • Réagir de manière appropriée en mettant fin à la violation ou en atténuant ses conséquences
  • Documenter la violation
  • Notifier la violation à la Cnil en cas de risque pour les personnes
  • Informer les personnes concernées en cas de risque élevé pour ces dernières
  • Tirer les conséquences de la violation

2- Quelle gradation des actions en fonction du niveau de risque pour les personnes concernées ?

Pour connaitre l’étendue de ses obligations, le responsable du traitement doit déterminer le niveau de risque que la violation fait encourir aux personnes concernées. Plus le niveau de risque sera élevé, plus le nombre d’actions à mettre en œuvre sera important.

  • Une violation ne faisant pas courir de risque aux personnes concernées devra simplement être documentée en interne ;
  • Une violation faisant courir un risque aux personnes doit être documentée en interne et notifiée à la Cnil ;
  • Une violation faisant courir un risque élevé aux personnes doit être documentée, notifiée à la Cnil et faire l’objet d’une information auprès des personnes concernées.

3- Comment évaluer le niveau de risque de la violation pour les personnes concernées ?

L’appréciation du niveau de risque engendré par la violation pour les personnes concernées doit être réalisée au cas par cas.

Elle dépendra des critères suivants :

  • Le type de violation :
    • Mise en cause de l’intégrité des données
    • Rupture de la confidentialité
    • Perte de la disponibilité des données
  • La nature de données affectées, notamment :
    • Données sensibles
    • Données relatives aux infractions et condamnations
    • Données à caractère hautement personnel
  • Le volume de données ou de personnes concernées
  • La facilité d’identifier les personnes concernées grâce aux données faisant l’objet d’une violation
  • Les conséquences possibles pour ces personnes (gravité et vraisemblance)
  • Les catégories de personnes concernées, notamment :
    • Personnes vulnérables

La Cnil ajoute les caractéristiques du responsable du traitement. Pourtant, en ce qui concerne l’appréciation du risque pour les personnes concernées par la violation, la nature de l’organisme ne semble pas avoir d’incidence prédominante.

4- Quel outil pour évaluer rapidement le niveau de risque de la violation ?

Lorsqu’une violation de données comporte un risque pour les personnes et nécessite sa notification à la Cnil, le responsable dispose d’un délai de 72h à compter de sa prise de connaissance pour réaliser cette notification (téléservice de la Cnil : https://notifications.cnil.fr/notifications/index).

Le G29 précise que le moment de la « prise de connaissance » est celui où le responsable de traitement est « raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel ».

Le responsable du traitement a donc tout intérêt à définir, à l’avance, une matrice de qualification des risques en fonction des traitements qu’il met en œuvre. Cette matrice peut proposer une notation des différents critères entrant en ligne de compte pour l’évaluation du niveau de risque. Elle peut être construite sur la base du modèle suivant :

  • Description de la violation élément par élément
  • Notation du risque sur la base des éléments décrits

Des exemples d’impact sur les personnes ou d’évaluation des niveaux de risque sont présentés dans les Guides de la Cnil relatifs à l’analyse d’impact.

5 – Les résultats de l’évaluation

  • Un résultat combiné supérieur ou égal à 6 pourra être considéré comme un risque élevé pour les personnes :
    Dans ces conditions, la violation fera l’objet d’une communication auprès des personnes concernées, directement ou, le cas échéant, par voie d’information publique. Elle devra également être notifiée à la Cnil et faire l’objet d’une documentation interne.
  • Un résultat égal à 4 ou 5 pourra être considéré comme un risque réel mais limité pour les personnes : dans ce cas, une notification à la Cnil sera nécessaire ainsi qu’une documentation interne.
  • Un résultat inférieur à 4 pourra être considéré comme négligeable : La violation sera documentée en interne mais ne fera pas l’objet de notification à la Cnil, ni d’information des personnes concernée.

6 – Six mois après l’entrée en application du RGPD

1 000 notifications de violations de données personnelles reçues par la Cnil dans les six mois suivant l’entrée en application du RGPD, soit environ sept par jour.

Pour en savoir plus :

Art vectoriel gratuit via https://fr.vecteezy.com