Violations de données personnelles : les règles à suivre

19 juin 2018

Tous les organismes qui traitent des données personnelles doivent mettre en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d'incident. Les obligations prévues par le RGPD visent à éviter qu’une violation cause des dommages ou des préjudices aux organismes comme aux personnes concernées. 

Les nouvelles obligations concernant les violations de données sont prévues par les articles 33 et 34 du RGPD. Elles précisent l’obligation générale de sécurité que doivent respecter les organismes qui traitent des données à caractère personnel. 

Au titre de ce principe essentiel, ces organismes doivent mettre en place des mesures visant à :

  • prévenir toute violation de données
  • réagir de manière appropriée en cas de violation, c'est-à-dire mettre fin à la violation et minimiser ses effets.

Ces dispositions visent à préserver à la fois :

  • les responsables du traitement : afin de protéger leur patrimoine informationnel, en leur permettant notamment de sécuriser leurs données ;
  • les personnes affectées par la violation : afin d'éviter qu'elle ne leur cause des dommages ou préjudices, en leur permettant notamment de prendre les précautions qui s’imposent en cas d'incident. 

Il est dès lors recommandé que les organismes qui traitent des données personnelles (responsable du traitement ou sous-traitant) prévoient et mettent en place des procédures globales en matière de violation de données personnelles. Ces procédures doivent concerner l’ensemble du processus : la mise en place de mesures visant à détecter immédiatement une violation, à l’endiguer rapidement, à analyser les risques engendrés par l’incident et à déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées. Ces procédures participent ainsi à la documentation de la conformité au RGPD.

Qu’est-ce qu’une violation de données ?


Qui est concerné ?


Quelles sont les principales obligations en matière de violation de données ?


Pour les personnes concernées,
la violation engendre :
aucun risque un risque un risque élevé

Documentation interne, dans le « registre des violations »

X

X

X

Notification à la CNIL, dans un délai maximal de 72h

-

X

X

Information des personnes concernées dans les meilleurs délais, hors cas particuliers

-

-

X

Existe-il des dérogations à l’obligation d’informer les personnes concernées ?


Que doit contenir le « registre des violations de données » ?

La documentation doit consigner les faits concernant la violation de données à caractère personnel, ses effets et les mesures prises pour y remédier. Elle peut être contrôlée par la CNIL dans l’objectif de vérifier le respect des obligations en matière de violations.

En pratique, il est conseillé aux responsables du traitement de recenser l’ensemble des éléments relatifs aux violations et de s’appuyer sur le formulaire de notification mis en ligne par la CNIL. Ce formulaire peut en effet servir de canevas pour la documentation interne, qui peut ainsi constituer un outil unique de gestion de la conformité au RGPD en matière de violations. 

Le registre des violations devrait notamment contenir les éléments suivants :

  • la nature de la violation ;
  • les catégories et le nombre approximatif des personnes concernées ;
  • les catégories et le nombre approximatif d'enregistrements concernés ;
  • les conséquences probables de la violation ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
  • le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Que faut-il notifier à l'autorité de contrôle ?


Que faut-il communiquer aux personnes concernées ?

La notification aux personnes concernées doit a minima contenir et exposer, en des termes clairs et précis, les éléments suivants :

  • la nature de la violation ;
  • les conséquences probables de la violation ;
  • les coordonnées de la personne à contacter (DPO ou autre) ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Elle doit être complétée, dès lors que cela est nécessaire, de recommandations à destination des personnes pour atténuer les effets négatifs potentiels de la violation et leur permettre de prendre les précautions qui s’imposent

Exemples de recommandations : changement de mot de passe des utilisateurs d’un service, vérification de l’intégrité des données de leur compte en ligne, sauvegarde de ces données sur un support personnel

Quand faut-il notifier à la CNIL ?


Est-il nécessaire de disposer de toutes les informations pour notifier la violation à la CNIL ?


Que faire si le délai de 72h pour notifier est dépassé ?


Quel est le rôle du sous-traitant en cas de violation de données ?


L’obligation de notifier à l’autorité de contrôle peut-elle être confiée au sous-traitant ?


Comment apprécier l’absence de risque, le risque et le risque élevé ?


Que se passe-t-il après que la notification soit reçue par la CNIL ?


Quels sont les pouvoirs de la CNIL en matière de violation de données ?


Cas particulier : les violations touchant un traitement transfrontalier

Pour un traitement transfrontalier, l’autorité « chef de file » constitue l’unique interlocuteur du responsable du traitement. C’est donc auprès de cette autorité que la notification d’une violation doit être réalisée. Cette autorité n’est pas nécessairement la CNIL, y compris si la violation affecte des personnes résidant en France et y compris si elle s’est produite sur le territoire français.

En pratique, le téléservice de la CNIL prévoit que le responsable du traitement déclarant doit indiquer si la violation touche un traitement transfrontalier et, en cas de réponse positive, d’indiquer quels sont les autres États membres de l’Union concernés par le traitement. La CNIL se charge ensuite d’informer les autres autorités.