Tout organisme public ou privé, qu’il soit responsable du traitement ou sous-traitant et quelle que soit sa taille, est soumis à des obligations spécifiques dès lors qu’il traite des données personnelles et qu’il a connaissance d’une violation de données.
Qu’est-ce qu’une violation de données ?
La violation de données à caractère personnel est définie à l’article 4.12 du RGPD comme une violation de la sécurité de manière accidentelle ou illicite de laquelle résulte une destruction, perte, altération, divulgation ou accès non autorisée à l’égard des données à caractère personnel qui sont transmises, conservées ou traitées.
Quelles obligations en matière de violation de données ?
Il y a trois obligations principales en matière de violation des données :
- Tenir un registre des violations ;
- Notifier la violation à la CNIL ;
- Informer les personnes concernées par la violation.
Première obligation : tenir un registre des violations de données
Cette obligation est à respecter quel que soit le niveau de risque encouru par la violation.
À la suite d’une violation de données, le responsable du traitement doit recenser au sein d’un registre des violations les faits concernant la violation, ses effets, mais aussi les mesures prises pour remédier à la violation. Cela permet au responsable de traitement de prouver le respect de ses obligations en la matière lors d’un éventuel contrôle par l’autorité de protection des données (CNIL).
Le responsable de traitement peut recenser tout élément relatif à la violation, toutefois le registre doit absolument contenir les éléments suivants :
- La nature de la violation
- Les catégories et le nombre approximatif des personnes concernées
- Les catégories et le nombre approximatif d’enregistrements concernés
- Les conséquences probables de la violation
Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.
Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.
Deuxième obligation : notifier la violation de données à la CNIL (ou à toute autre autorité compétente)
Cette deuxième obligation est à respecter s’il y a un risque ou risque élevé encouru par les personnes concernées.
En effet, une violation de données peut entrainer un risque d’atteinte aux droits et libertés des personnes, notamment une atteinte à la vie privée. C’est pourquoi, en vertu de l’article 33.1 du RGPD, les violations de données susceptibles d’entrainer des risques ou risques élevés pour les droits et libertés des personnes doivent être notifiées à l’autorité de contrôle (CNIL).
Que doit notifier le responsable du traitement à la CNIL ?
- La nature de la violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;
- Les catégories et le nombre approximatif des personnes concernées ;
- Les catégories et le nombre approximatif d’enregistrements concernés ;
- Les conséquences probables de la violation ;
- Les coordonnées de la personne à contacter (DPO ou autre) ;
- Les mesures prises pour remédier à la violation et pour en limiter les conséquences négatives.
Quand faut-il notifier la violation à la CNIL ?
Le responsable du traitement doit notifier la violation de données à la CNIL dans les meilleurs délais, sous 72h maximum après la prise de connaissance de la violation.
La prise de connaissance par le responsable de traitement de la violation de données constitue le point de départ du délai de 72h. La prise de connaissance de la violation correspond au moment où le responsable du traitement a la certitude raisonnable qu’un incident a eu lieu et implique des données personnelles. Cette certitude raisonnable peut être établie par le responsable de traitement après avoir pris des mesures de détection des violations et d’investigations.
A noter : Il est possible d’effectuer une notification en deux temps, dans le cas où le responsable du traitement ne dispose pas de toutes les informations requises dans le délai de 72h :
- Une notification initiale est établie dans un délai de 72h après constatation de la violation
- Après dépassement du délai de 72h, une notification doit tout de même être effectuée, mais il faudra expliquer/justifier des motifs de retard.
- Une notification complémentaire doit être effectuée dès que les informations complémentaires sont disponibles.
En pratique le responsable du traitement devra faire preuve d’anticipation afin d’éviter de recourir à la notification en deux temps.
Comment notifier à la CNIL ?
Le responsable de traitement public ou privé qui souhaite notifier à la CNIL une violation de données doit utiliser le téléservice de notification de violations : https://notifications.cnil.fr/notifications/index
Focus : les pouvoirs de la CNIL en matière de violation de données
Dans le cadre d’une violation de données, la CNIL exerce un rôle d’accompagnement des responsables du traitement en donnant d’éventuels conseils et observations relatives à des mesures de sécurité pour mettre un terme à la violation et/ou ses effets.
La CNIL peut également apporter une vérification sur la nécessité d’informer ou non les personnes concernées ou apporter des recommandations à ce sujet.
La CNIL a en parallèle un rôle de contrôle du respect des obligations du responsable de traitement : en effet, elle peut contrôler les obligations qui incombent au responsable du traitement, notamment la tenue du registre des violations, la vérification du degré de risque, le respect des délais ou encore le contenu des notifications. Elle peut sanctionner en conséquence tout manquement à l’une ou plusieurs de ces obligations.
Troisième obligation : informer les personnes concernées si elles font l’objet d’une violation de données
Cette troisième obligation est à respecter s’il y a un risque élevé encouru par les personnes concernées.
En cas de risque élevé pour les droits et libertés d’une personne concernée lors d’une violation, la personne doit être notifiée en des termes clairs et précis, des éléments suivants :
- La nature de la violation ;
- Les conséquences probables de la violation ;
- Les coordonnées de la personne à contacter (DPO ou autre) ;
- Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.
A noter : Cette notification doit également, si nécessaire, être complétée de recommandations et mesures de précautions destinées à la personne concernée, afin d’atténuer les éventuels effets de la violation. Par exemple, le changement de mot-de-passe ou la demande de sauvegarde sur un support personnel des données sont des recommandations pertinentes.
Il existe des exceptions à l’obligation d’informer les personnes concernées dans les cas où :
- Les données à caractère personnel affectées sont protégées par des mesures techniques et organisationnelles appropriées (chiffrement, clé non compromise etc…) et sont incompréhensibles pour celui qui n’est pas autorisé à y avoir accès.
- Le responsable du traitement a pris des mesures qui conduisent à ce que le risque élevé n’est plus susceptible de se matérialiser.
- La communication de la violation aux personnes concernées exige des efforts disproportionnés, notamment si le responsable du traitement n’a aucun élément pour contacter la personne concernée. Attention, le responsable du traitement peut toutefois effectuer une communication publique afin d’en informer le ou les personnes concernées.
Comment apprécier le degré de risque d’une violation de données ?
Les 3 obligations principales en matière de violation des données que sont la tenue d’un registre des violations, la notification de la violation à la CNIL et l’information des personnes concernées, sont exigibles en fonction du degré de risque de la violation de données (absence de risque, risque ou risque élevé).
Le responsable du traitement doit donc apprécier le degré de risque selon les éléments suivants :
- Le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données)
- La nature, la sensibilité et le volume des données personnelles concernées
- La facilité d’identifier les personnes touchées par la violation
- Les conséquences possibles de celles-ci pour les personnes
- Les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.)
- Le volume de personnes concernées
- Les caractéristiques du responsable du traitement (nature, rôle, activités).
A noter : Une notification à la CNIL ne sera pas nécessaire dans les cas où une divulgation à la suite d’une violation porte sur des données déjà rendues publiques ou dans le cadre de la suppression de données sauvegardées et restaurées immédiatement etc…