RGPD & CNIL : les reflexes à avoir en cas de faille de sécurité


 

Les organismes publics et privés qui traitent des données personnelles doivent notifier toute violation des données à la CNIL dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance, conformément à l’article 33 du RGPD.

Cet article vous invite à prendre connaissance des bons réflexes à avoir en cas de violation de sécurité relative à des données personnelles. 

Réflexe 1 : êtes-vous bien en présence d’une violation de la sécurité ?

L’article 4.12 du RGPD définit la violation de données comme une violation de la sécurité qui entraine, de manière accidentelle ou illicite, l’un des évènements suivants : destruction, perte, altération, divulgation non autorisée, et accès non autorisé aux données à caractère personnel transmises, conservées et traitées par l’organisme responsable de traitement ou son sous-traitant. 

Une  violation de la sécurité résulte ainsi d’une faille de sécurité du système de traitement. 

 

Exemple : l’un de vos salariés a accidentellement supprimé des données personnelles bien que non habilité pour ce faire. Vous n’avez effectué aucune sauvegarde et n’êtes pas en mesure de restaurer l’accès aux données. Il s’agit d’une violation de la sécurité, s’agissant d’une perte d’accès permanant aux données personnelles, devant faire l’objet d’une notification auprès de la CNIL.

 

Trois types de violations ont été identifiés par le G29 :

  • Violation de la confidentialité : correspond à une divulgation ou un accès non autorisé ou accidentel à des données personnelles ;

  • Violation de l’intégrité : correspond à une altération non autorisée ou accidentelle de données personnelles ;

  • Violation de la disponibilité : correspond à la destruction ou la perte accidentelle ou non autorisée de l’accès à des données personnelles.

Réflexe 2 : quels sont les risques encourus par les personnes concernées ?

Avant de procéder à la notification d’une violation de données, encore faut-il avoir évalué l’impact potentiel pour les personnes concernées. 

En effet, le RGPD exige du responsable du traitement qu’il notifie toute violation à la CNIL, lorsqu’elle est susceptible d’engendrer un risque de conséquences négatives de nature à entraîner des dommages physiques, matériels ou un préjudice moral (limitation des droits, discrimination, vol ou usurpation d’identité, perte financière, atteinte à la réputation ou perte de confidentialité, etc.).A défaut d’un tel risque, il n’est pas nécessaire d’alerter l’autorité de contrôle. 

C’est pourquoi il est impératif, préalablement à la notification, d’être en mesure d’identifier l’existence ou non d’une violation de la sécurité et d’évaluer ses risques pour les personnes concernées. 

Un responsable du traitement peut cependant déjà disposer d’une évaluation initiale des risques potentiels qui pourraient résulter d’une violation dans le cadre d’une analyse d’impact relative à la protection des données (AIPD) effectuée préalablement aux opérations de traitement concernées.

Reflexe 3 : Quand notifier une violation de sécurité auprès de la CNIL?

Si vous avez identifié une violation susceptible d’engendrer des conséquences négatives pour les personnes concernées, il convient d’en alerter la CNIL dans les meilleurs délais possibles, et au plus tard dans les 72 heures après avoir en avoir pris connaissance. 

 

  • Quand suis-je censé en avoir pris connaissance ? 

Selon le G29, le responsable de traitement est censé avoir connaissance de la violation lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des

données à caractère personnel. Vous l’aurez compris, le point de départ du délai de 72 heures varie selon le type de violation, ainsi que le temps durant lequel il est nécessaire d’apprécier si des mesures correctives sont envisageables.

 

  • Que faire si je dépasse le délai de 72 heures ? 

Il demeure impératif de notifier la violation des données à la CNIL. Toutefois, la notification devra s’accompagner du motif expliquant ce retard. 

Aussi, si vous ne disposez pas de l’ensemble des éléments nécessaires à votre déclaration dans les 72 heures, ceux-ci peuvent être téléversés après l’expiration du délai imparti, l’important étant que la notification soit faite dans ce délai. Dans ce cas, il est important de veiller à ne pas cocher en début de procédure la case « notification complète ».

Réflexe 4 : quelles informations transmettre à la CNIL ?

La notification de la violation doit contenir les informations suivantes, sans que cette liste ne soit exhaustive : 

  • La nature de la violation ;

  • Les catégories et le nombre approximatif des personnes concernées ;

  • Les catégories et le nombre approximatif de fichiers concernés ;

  • Les conséquences probables de la violation ;

  • Les coordonnées de la personne à contacter (notamment votre  DPO le cas échéant) ;

  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.


Un téléservice dédié aux organismes privés et publics a été mis en place par la CNIL afin de procéder à une notification en ligne.

Réflexe 5 : faut-il informer les personnes concernées ?

 

Toute violation de la sécurité concernant des données personnelles doit également être notifiée aux personnes concernées par cette violation lorsque celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Le seuil à atteindre est par conséquent plus élevé pour la communication aux personnes concernées que pour la notification à l’autorité de contrôle, et toutes les violations ne devront donc pas être communiquées aux personnes concernées.

 

Exemple : Des données à caractère personnel d’un grand nombre d’étudiants sont envoyées par erreur à une mauvaise liste d’adresses contenant plus de 1 000 destinataires. Les personnes concernées, en fonction de la portée et du type de données à caractère personnel concernées ainsi que de la gravité des conséquences potentielles, devront ainsi être informées. 

 

La notification aux personnes concernées doit comporter en des termes clairs et précis, les éléments suivants :

  • La nature de la violation ;

  • Les conséquences probables de la violation ;

  • Les coordonnées de la personne à contacter (DPO le cas échéant) ;

  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

 

Aussi, une telle notification sera complétée, dès lors que cela est nécessaire, de recommandations à destination des personnes pour atténuer les effets négatifs potentiels de la violation et leur permettre de prendre les précautions qui s’imposent (par ex. changement de mot de passe).

Reflexe 6 : comment documenter les violations de données ?

L’article 33.5 du RGPD impose au responsable de traitement de documenter toute violation de la sécurité, peu important que celle-ci ait ou non fait l’objet d’une notification.

Par conséquent, il est indispensable de tenir un registre des violations de données au sein duquel les informations pertinentes doivent être renseignées : causes, faits et données à caractère personnel concernées, effets et conséquences de la violation, mesures prises par le responsable du traitement pour y remédier.


Articles similaires