Qu’est-ce qu’une violation de données personnelles ?

13 Mar 2019
Anne-Sophie Casal
145
0

Le règlement général sur la protection des données (RGPD) exige que toute violation de données à caractère personnel qui présente un risque pour les droits et libertés des personnes physiques soit notifiée à l’autorité de contrôle et, si le risque est élevé, fasse l’objet d’une communication aux personnes concernées.

Qu’est-ce qu’une violation de données personnelles ?

Le RGPD (article 4-12) définit une violation de données à caractère personnel comme une violation de la sécurité, accidentelle ou illicite, entrainant :

  • la destruction ou la perte
  • l’altération
  • la divulgation non autorisée ou l’accès non autorisé à des données à caractère personnel transmises, conservées ou traitées.
  • Une violation de données personnelles est une catégorie d’incident de sécurité impliquant des données à caractère personnel.

 

Quand faut-il notifier la violation à l’autorité de contrôle?

Le responsable du traitement doit notifier la violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

  • Une  violation qui n’engendre pas de risque pour les droits et libertés des personnes physiques concernées n’a pas à être notifiée à la Cnil.

 

Quand le responsable du traitement est-il considéré comme ayant pris « connaissance » de la violation ?

Le G29 explique qu’un responsable du traitement devrait être considéré comme ayant pris « connaissance » de la violation lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel.

Ce moment dépend donc des circonstances de l’incident : dans certains cas, il sera relativement clair qu’une violation s’est produite, tandis que dans d’autres cas, une enquête préalable sera nécessaire avant de pouvoir déterminer si des données à caractère personnel ont été compromises.

Ainsi, après avoir été informé d’un incident de sécurité, le responsable du traitement devra mener une brève enquête afin de déterminer les caractéristiques de cet incident. Lors de cette période d’enquête, le responsable du traitement ne sera pas considéré comme ayant pris connaissance de la violation.

Cependant, cette enquête initiale doit être réalisée le plus tôt possible et aboutir rapidement afin de déterminer, avec un degré de certitude raisonnable, si une violation s’est produite. Une enquête plus détaillée sera menée par la suite.

 

Quelle sont les mesures qui doivent être prises par le responsable du traitement pour faire face à une violation de données personnelles ?

Le responsable du traitement doit prévoir, en amont, des mécanismes et procédures qui lui permettront de :

  • distinguer, parmi les incidents de sécurité, ceux qui constituent des violations de données
    • Enregistrer et tracer les incidents de sécurité
    • Identifier les incidents impactant des données personnelles
    • Remonter l’information aux personnes responsables (cellule de crise)
    • Documenter des scénarios de violation (vol de PC, envoi de données à un destinataire erroné, phishing, etc.)
  • établir le degré de gravité d’une violation de données à caractère personnel
    • Disposer d’une grille d’évaluation
    • Créer une matrice des risques en fonction du type de données et de personnes concernées (exemple : un vol d’adresses électroniques peut créer un risque de phishing pour les personnes concernées, etc.)
    • Documenter des évaluations type en fonction du cœur de métier et des données détenues
  • mettre en place des mesures techniques et organisationnelles pour atténuer ou remédier aux risques engendrés par la violation
    • Identifier les principales actions à mettre en œuvre en fonction des scénarios de violation identifiés
  • informer rapidement l’autorité de contrôle et, le cas échéant, la personne concernée
    • Créer une procédure de notification
    • Rédiger des modèles type de courrier d’information
  • documenter la violation
    • Créer un espace dédié à la description des violations, de leurs conséquences et des actions entreprises pour y faire face
    • Conserver un historique de cette documentation
    • Mettre en place des mécanismes permettant d’exploiter cette documentation et d’en tirer des leçons
  • améliorer les processus internes à l’issue de la violation

 

Comment notifier la violation de données ?

En fonction de la nature de la violation, il peut être nécessaire que le responsable du traitement effectue une enquête complémentaire afin d’établir tous les faits pertinents liés à l’incident

La notification peut donc être réalisée de manière échelonnée si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps.

Une telle notification peut être utile notamment dans le cas de violations complexes, nécessitant par exemple une enquête approfondie et détaillée afin d’établir pleinement la nature de la violation et la mesure dans laquelle des données à caractère personnel ont été compromises.

 

Que faire si l’incident notifié à la Cnil s’avère ne pas constituer une violation de données personnelles ?

Si une enquête approfondie, après une notification précoce, révèle que l’incident de sécurité a été endigué ou qu’aucune violation ne s’est réellement produite, le responsable du traitement peut en informer l’autorité de contrôle. Par exemple, si un responsable du traitement informe l’autorité de contrôle de la perte d’une clé USB contenant des données à caractère personnel mais que cette clé USB est ensuite retrouvée mal rangée dans ses locaux, il peut en informer l’autorité de contrôle et demander à ce que la notification soit modifiée.

  • Aucune sanction n’est prévue en cas de notification d’un incident qui s’avère, en fin de compte, ne pas constituer une violation.

 

Que se passe-t-il en cas de notification tardive ?

Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

Cette disposition reconnaît qu’un responsable du traitement pourrait ne pas toujours être en mesure de notifier une violation dans ce délai. Néanmoins, celles-ci doivent rester exceptionnelles et fondées sur des motifs réels et légitimes.

 

Quand la notification n’est-elle pas obligatoire ?

Lorsqu’une violation n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques », elle ne doit pas être notifiée à l’autorité de contrôle. Ce cas peut se produire lorsque les données à caractère personnel faisant l’objet de la violation sont déjà disponibles pour le public et qu’une divulgation desdites données n’est pas susceptible d’engendrer un risque pour les personnes concernées.

Un autre exemple concerne les données à caractère personnel qui ont été rendues incompréhensibles pour tout tiers non autorisé et si les données en question constituent une copie ou qu’il en existe une sauvegarde.

Une violation de la confidentialité portant sur des données à caractère personnel correctement chiffrées ne doit pas être notifiée à l’autorité de contrôle.

Toutefois, si l’on se rend ultérieurement compte que la clé de chiffrement est compromise ou si l’on découvre une vulnérabilité dans le logiciel de cryptage, une notification pourra être nécessaire à ce moment-là.

 

Quand faut-il communiquer la violation à la personne concernée ?

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il convient de souligner que l’objectif de la notification à l’autorité de contrôle n’est pas uniquement d’obtenir des conseils relatifs à la notification éventuelle des personnes concernées.

Dans certains cas, en raison de la nature de la violation et de la gravité du risque, le responsable du traitement devra informer les personnes concernées dans les meilleurs délais, et même avant la notification à l’autorité de contrôle.

Cela pourrait être nécessaire, par exemple, s’il existe un risque immédiat d’usurpation d’identité, ou si des catégories particulières de données à caractère personnel sont divulguées sur internet.

De façon plus générale, la notification à l’autorité de contrôle ne peut servir de justification à la non-communication de la violation aux personnes concernées lorsque celle-ci est nécessaire.

 

De quelle manière doit-on informer les personnes concernées ?

En principe, la violation devrait être communiquée aux personnes concernées directement, à moins que cela n’exige des efforts disproportionnés.

Dans ce cas, le responsable du traitement procède à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

La communication doit être claire et transparente. Ainsi, la communication ne pas être envoyés avec d’autres informations, telles que des mises à jour régulières, des newsletters ou des messages standard.

De telles méthodes de communication transparente pourraient être des messages directs (par exemple : courriel ou SMS), des notifications ou des bannières bien visibles sur le site internet, des communications postales et des annonces bien visibles dans des médias imprimés.

Le responsable du traitement devrait s’assurer également que la communication soit accessible dans des formats alternatifs appropriés ainsi que dans les langues adaptées aux personnes concernées pour qu’elles soient en mesure de comprendre les informations qui leur sont communiquées.

 

Quelles informations doit fournir le responsable du traitement aux personnes ?

  • une description de la nature de la violation;
  • le nom et les coordonnées du responsable de la protection des données ou d’un autre point de contact;
  • une description des conséquences probables de la violation;
  • une description des mesures prises ou envisagées par le responsable du traitement pour remédier à la violation, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets néfastes.

 

Quand cette communication n’est-elle pas nécessaire?

Dans certains cas particuliers, le responsable du traitement n’a pas besoin de réaliser cette information :

  • Il a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;
  • le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser;

 

Comment faut-il documenter une violation ?

Le responsable du traitement doit documenter toute violation de données à caractère personnel, indépendamment de sa notification éventuelle à l’autorité de contrôle.

Le responsable du traitement doit consigner des informations concernant la violation, y compris les causes, les faits et les données à caractère personnel concernées. Il décrit les effets et les conséquences de la violation ainsi que les mesures prises  pour y remédier.

En plus de ces détails, le G29 recommande au responsable du traitement de documenter également son raisonnement pour les décisions prises en réponse à une violation. En particulier, si une violation n’est pas notifiée, une justification de cette décision doit être documentée.

 

 

Pour conclure, une bonne gestion d’une violation de données personnelles repose sur une anticipation bien pensée de ce risque. Plus le responsable du traitement aura organisé au préalable la procédure de réponse à une violation de données en désignant et en formant une cellule de crise, en documentant des scénarios ou en créant des modèles d’évaluation des risques par exemple, plus la gestion sera efficace.