Bien réagir à une violation de données personnelles
TOC Example
La contrathèque
Accédez gratuitement à nos modèles de contrats et templates
Que faire si vous subissez une violation de données personnelles ? Dans cet article, vous apprendrez comment réagir en cas de violation de données personnelles.
Quand on parle de violation de données personnelles, ça nous évoque généralement des serveurs piratés et des données personnelles compromises ou divulguées publiquement. Or, de nombreux autres incidents entrent dans la définition d'une "violation de données" au sens du RGPD tels que les incendies de serveurs, les pannes d'électricité, ou même le vol de matériel contenant des données clients. Tous ces événements sont considérés comme des violations de données. Comment réagir face à ces situations ?
- Qu’est-ce qu’une violation de données personnelles ?
Une violation de données est tout incident de sécurité, malveillant ou non, intentionnel ou non, ayant pour conséquence de compromettre l'intégrité, la disponibilité ou la confidentialité des données personnelles.
Un exemple classique est la cyberattaque, où un tiers s'introduit dans la base de données, subtilise les données et les modifie. Un autre exemple est l'atteinte à la disponibilité des données, tel qu'un incendie de serveurs ou une panne d'électricité rendant les données indisponibles pendant un certain temps. Cela peut également inclure la situation où un employé a envoyé par erreur un fichier contenant des informations personnelles.
- Quelles sont les obligations en cas de violation de données personnelles ?
En cas de violation de données, il est important de connaître ses obligations en vertu du RGPD.
Tout dépend de la qualification RGPD de l’entreprise, si elle agit en qualité de responsable de traitement ou de sous-traitant.
Qu’est-ce que le responsable de traitement ? C’est la société qui détermine les finalités et les moyens du traitement.
Qu’est-ce que le sous-traitant ? C’est la société qui traite les données personnelles au nom et pour le compte du responsable de traitement.
Le sous-traitant a uniquement l’obligation de notifier les responsables de traitement concernés par la violation. Le responsable de traitement a l’obligation de notifier la CNIL et/ou les personnes concernées en fonction de la violation de données.
- La notification à la CNIL de la violation de données personnelles
3.1. L’obligation générale de notification de la violation de données personnelles à la CNIL
La violation de données a l’obligation d’être notifiée à la CNIL seulement si elle présente un risque pour les droits et libertés des personnes concernées.
Si c'est le cas, il est obligatoire de notifier la violation de données à la CNIL dans un délai de 72 heures après sa prise de connaissance, c'est-à-dire à partir du moment où il est certain qu'un incident de sécurité a eu lieu et qu'il concerne des données personnelles.
Avant toute chose, il convient d'évaluer le risque lié à la violation de données.
3.2. Comment évaluer le risque lié à la violation de données personnelles ?
Les éléments pour évaluer le risque lié à la violation sont les suivants :
- le type de violation : est-ce qu'elle concerne l'intégrité, la disponibilité et/ou la confidentialité des données ?
- la sensibilité des données : est-ce que ce sont des données de contact ou des données de santé ?
- le volume des données : est-ce que cela concerne une petite ou une grande quantité de données personnelles ?
- le type de personnes concernées : est-ce que ce sont des enfants, des patients ou des salariés ?
- la facilité d'identifier les personnes touchées par la violation : est-ce que les données ont été chiffrées ou est-ce qu'elles étaient en clair ?
- le volume des personnes concernées : est-ce que cela concerne une petite ou une grande quantité de personnes ?
- les caractéristiques du responsable de traitement : dans quel secteur d'activité intervient l’entreprise : santé, bancaire, etc ?
- les conséquences possibles pour les personnes : est-ce qu'elles pourraient être victimes d'une usurpation d'identité ou du détournement de leurs coordonnées bancaires à la suite de cette violation de données?
Si la violation présente un risque, il est nécessaire de notifier la CNIL dans les 72 heures. La notification doit être effectuée via le formulaire qui se trouve sur le site de la CNIL.
En cas de manque d'informations dans le délai de 72 heures, il est possible de faire une notification en deux temps : une première notification dans les 72 heures avec les premières informations disponibles, suivie d'une seconde notification avec les informations complémentaires.
Dans tous les cas, si le délai de 72 heures est dépassé, il est toujours nécessaire de notifier la violation de données à la CNIL en justifiant les raisons du retard.
Si l'analyse de la violation de données révèle un risque élevé pour les droits et libertés des personnes concernées, il est obligatoire de les informer.
- Quand doit-on informer les personnes de la violation de données personnelles ?
Une violation de données présente un risque élevé lorsque les conséquences de la violation sont graves et que la probabilité que celles-ci se produisent est importante.
Par exemple, une violation présente un risque élevé si elle concerne des données sensibles, des personnes vulnérables et une quantité importante de personnes.
Dans cette hypothèse, il y a l'obligation d'informer les personnes concernées. Cette information devra contenir a minima les éléments suivants :
- la nature de la violation ;
- ses conséquences probables ;
- les coordonnées de la personne à contacter (DPO ou autre) ;
- les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives.
Cette information peut être accompagnée de recommandations à destination des personnes pour atténuer les conséquences de la violation, par exemple en leur recommandant de changer leur mot de passe, de sauvegarder les données sur un support personnel ou encore de vérifier l'intégrité de leurs données.
Conclusion
Premièrement, il convient d'identifier l'origine de la faille de sécurité en répondant à plusieurs questions :
- Quelle est la nature de la faille ?
- Est-ce que des données personnelles ont été impactées ? Si oui, de quelle nature ?
- Quelles sont les conséquences de la faille ?
- Quelles mesures de sécurité pourraient remédier à cette situation ?
Deuxièmement, les obligations varient en fonction de la qualification RGPD de l’entreprise, responsable de traitement ou sous-traitant :
- Si elle est sous-traitant, elle est tenue de notifier la violation aux responsables de traitement concernés dans les délais spécifiés dans ses contrats. Il est donc important de négocier soigneusement ce délai avec les clients.
- Si elle est responsable de traitement, elle doit évaluer le risque présenté par la violation. Si celle-ci présente un risque, elle doit notifier la CNIL dans un délai de 72 heures.
- Si la violation présente un risque élevé, elle doit également informer les personnes concernées.
Troisièmement, dans tous les cas, il est nécessaire de documenter la violation de données dans le registre des violations de données. Il est important de tenir un registre qui comprendra tous les éléments liés à la violation de données.
Il convient de noter que la CNIL peut demander à accéder à ce registre, il est donc important de s'assurer que toutes les informations pertinentes y sont consignées.
L'abonnement juridique illimité pour les entrepreneurs
Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups.