27 janvier 2021

Violation de données personnelles : nouvelles lignes directrices du Comité européen à la protection des données

Le 14 janvier 2021, l’EDPB ou Comité européen à la protection des données a publié ses lignes directrices 01/2021 pour illustrer la notification des violations de données. En effet, les violations de données peuvent prendre des formes très diverses de telle manière que certains responsables de traitement ne les identifient pas ou mal. Ce texte […]

data privacydonnées personnellesEDPBprivacyRansomwareRGPD
Logo

Le 14 janvier 2021, l’EDPB ou Comité européen à la protection des données a publié ses lignes directrices 01/2021 pour illustrer la notification des violations de données. En effet, les violations de données peuvent prendre des formes très diverses de telle manière que certains responsables de traitement ne les identifient pas ou mal.

Ce texte fait suite et complète les lignes directrices sur la notification de violations de données à caractère personnel adoptées par le G29 (ancêtre de l’EDPB) le 3 octobre 2017.

L’EDPB présente donc des exemples détaillés d’évènements qui constituent différentes catégories de violations de données :

  • les ransomware ou rançongiciels,
  • les attaques par exfiltration de données,
  • les violations fondées sur le facteur humain interne à l’organisme,
  • la perte ou le vol de matériels ou documents,
  • les erreurs d’adressage
  • ainsi que d’autres cas en matière d’ingénierie sociale.

Ces différents scénarios de violation de données personnelles sont basés sur les notifications reçues par les autorités de contrôle depuis l’entrée en vigueur du RGPD. En France, la Cnil indique dans son dernier rapport d’activité, avoir reçu 2 287 notifications de violations de données en 2019.

Les nouvelles lignes directrices ont également pour ambition de présenter pour chaque exemple des mesures pour anticiper la survenance de l’incident et une évaluation des risques. En cas de réalisation de l’évènement, des mesures de remédiation ou d’atténuation sont proposées ainsi que l’indication des obligations déclaratives du responsable de traitement.

L’ensemble de ces informations permet à un responsable de traitement de disposer d’une base de connaissances très importante en matière de violation. Par conséquent, il peut d’une part prendre des mesures préventives en se fondant sur les recommandation du Comité européen à la protection des données, d’autre part documenter et réagir plus facilement, plus rapidement et plus efficacement en cas d’incident de sécurité.

En contrepartie, les autorités de contrôle seront peut-être moins indulgentes lorsqu’un scénario de violation décrit et documenté par l’EDPB se réalisera. Dans cet esprit, la Cnil publie également chaque trimestre une violation emblématique à des fins pédagogiques. A bon entendeur…

Petit rappel de contexte

Le RGPD les définit comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (article 4.12 du RGPD).

Cette définition repose sur trois évènements de sécurité classiques :

  • La perte de confidentialité ;
  • La perte d’intégrité ;
  • La perte de disponibilité.

Leurs conséquences peuvent être variées sur les personnes, tant sur le plan physique que psychologique, matériel et immatériel : perte de contrôle des données personnelles, limitation des droits des personnes, discrimination, vol d’identité ou fraude, pertes financières, atteinte à la réputation, ou d’autres désavantages sociaux ou économiques.

C’est la raison pour laquelle le responsable du traitement est tenu, dans le cadre du RGPD, de mettre en œuvre, en fonction du risque pour les droits et libertés des personnes, toutes les mesures techniques et organisationnelles afin de pallier la survenance de ces trois risques.

Néanmoins, en cas de réalisation d’un incident de sécurité impactant des données personnelles, le responsable du traitement doit documenter cette violation de données, la notifier à l’autorité de contrôle en cas de risque pour les personnes et en faire la communication auprès des personnes concernées si le risque pour elle est élevé.

C’est pourquoi l’EDPB rappelle que chaque responsable de traitement doit mettre en place des procédures pour gérer d’éventuelles violations de données. La formation du personnel à l’identification des incidents et aux mesures à prendre est essentielle pour réagir vite et de manière appropriée en cas d’évènement afin de prévenir ou limiter les impacts pour les personnes concernées. Ces formations doivent être répétées régulièrement afin d’être à jour des dernières tendances en matière de cyberattaques et autres vulnérabilités

Pour respecter pleinement le principe d’accountability, le responsable de traitement devrait réaliser un recueil interne documentant les différents scénarios de violations de données envisageables, adaptés à son contexte, avec les mesures prises pour en empêcher la réalisation, l’évaluation du niveau de risque en cas de survenance de l’incident, les mesures de remédiation à prendre ainsi que ses obligations subséquentes.

La documentation interne a également pour objet, et pour obligation, de conserver la trace des violations survenues afin d’en tirer les leçons et de pouvoir prouver à l’autorité de contrôle la célérité de la réaction et l’efficacité des mesures prises.

Les nouvelles lignes directrices fournissent donc une matière bienvenue pour que les responsables de traitement qui ne l’ont pas fait se lancent dans ce travail de documentation interne des scénarios de violation de données !

En savoir plus :
https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_fr

Blog

Nos actualités cybersécurité

Cybersécurité

Panorama de la cybermenace 2025 : ce que révèle le rapport de l’ANSSI sur l’état de la menace en France

L’ANSSI a publié le 11 mars 2026 son Panorama de la cybermenace 2025. Comme chaque année, ce rapport constitue la référence pour comprendre l’évolution des menaces qui pèsent sur les organisations françaises. Et cette édition ne rassure pas.

23 mars 2026

Cybersécurité

Cybersécurité du mainframe : pourquoi et comment sécuriser le cœur de vos systèmes d’information

Souvent perçu comme une relique technologique, le mainframe reste pourtant l’épine dorsale des organisations les plus critiques au monde. Banques, assurances, industries, administrations : ces systèmes traitent chaque jour des milliards de transactions et concentrent les données les plus sensibles. Pourtant, leur sécurité est rarement auditée avec la rigueur qu’ils méritent. Décryptage d’un angle mort majeur de la cybersécurité.

20 mars 2026

Cybersécurité

Cybersécurité des ETI : comment passer du réflexe défensif à une stratégie structurée

En 2025, 34 % des ETI ont subi au moins une cyberattaque significative. Le chiffre peut sembler modéré en comparaison des grandes entreprises (50 %), mais il masque une réalité plus brutale : parmi les organisations touchées, 81 % ont constaté un impact direct sur leur activité – perturbation de la production, perte d’image, compromission de données stratégiques ou perte de chiffre d’affaires (sondage OpinionWay pour CESIN, janvier 2026).

10 mars 2026
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

    *Informations obligatoires

    Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

    Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.