Notification des violations de données personnelles (la théorie)

En vertu du règlement général sur la protection des données (RGPD), lorsqu’une violation de données personnelles se produit, les responsables de traitement doivent notifier:

  • L’autorité de contrôle concernée lorsque la violation peut entraîner un risque pour les droits et la libertés des personnes concernées ;

  • Les personnes concernées lorsque la violation des données à caractère personnel peut entraîner un risque élevé pour leurs droits et libertés.

Cet article basé sur les recommandations théoriques du CEPD concernant les notifications des données personnels vise à comprendre le cadre juridique général applicable au notification de violation des données. Le CEPD a également produit des recommandations pratiques qui contient des exemples pratique de violations et des mesures techniques à mettre en place. Pour plus de détails, cliquez ici.

1. Qu’est-ce qu’une violation de données personnelles ?

Selon le GDPR, la «violation des données personnelles» constitue une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, la modification, la divulgation ou l’accès non autorisés à des données personnelles transmises, stockées ou traitées d’une autre manière.

Ainsi, une violation de données comprend les trois catégories suivantes :

> violation de confidentialité : divulgation ou accès non autorisé ou accidentel à des données à caractère personnel ;

> violation de disponibilité : perte d’accès ou destruction accidentelle ou non autorisée des données à caractère personnel ;

> violation d’intégrité : modification non autorisée ou accidentelle des données à caractère personnel.

En termes généraux, lorsqu’une violation de sécurité concernant des données à caractère personnel se produit, elle peut être considérée comme une violation de données personnelles.

 

2. Quand faut-il notifier l’Autorité de contrôle ?

Une notification est nécessaire si la violation est susceptible d’entraîner un risque pour les droits et libertés des personnes concernées et doit être effectuée dans les 72 heures suivant la révélation de la violation.

2.1. Notification obligatoire lorsque la violation est susceptible d’engendrer un « risque pour les droits et les libertés des personnes concernées »

Le responsable de traitement est tenu de notifier l’autorité seulement si la violation des données à caractère personnel est susceptible d’entraîner un risque pour les droits et libertés des personnes physiques.

La notion de risque comme de risque élevé n’est pas définie avec précision dans le RGPD . Les autorités rappellent toutefois que dans la mesure où la violation de données s’est produite, il s’agit d’évaluer la gravité et la probabilité de survenance des conséquences de cette violation.

Il convient, à cet effet, de prendre en compte les circonstances spécifiques de la violation dont notamment : 

  • le type de violation (confidentialité, disponibilité, intégrité) ;
  • la nature, le volume et la sensibilité des données (ex : données de carte de paiement, données de santé) ;
  • le nombre et type de personnes concernées (ex : personne vulnérable, mineur, patient) ;
  • les possibilités d’identification des personnes ;
  • les caractéristiques du responsable du traitement ; et
  • la gravité des conséquences (risques susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral tel qu’une discrimination, une usurpation d’identité, une perte financière, une atteinte à la réputation ou une perte de confidentialité de données protégées par le secret professionnel).

Il ressort du RGPD qu’ un risque pour les droits et les libertés des personnes peut résulter d’un traitement des données à caractère personnel susceptible d’entraîner des dommages physiques ou matériels notamment lorsque :

  • Le traitement implique un volume important de données à caractère personnel et affecte un grand nombre de personnes concernées ;
  • Le traitement peut donner lieu à discrimination, vol d’identité ou fraude, perte financière, atteinte à la réputation, perte de confidentialité des données protégées par le secret professionnel, reversabilité non autorisée de pseudonymisation ou tout autre désavantage économique ou social important ;
  • Les personnes concernées pourraient être privées de leurs droits et libertés ou être empêchées d’exercer un contrôle sur leurs données à caractère personnel ;
  • Des catégories particulières de données sont traitées (c’est à dire qu’elles révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, les données génétiques, les données sur la santé ou les données relatives à la vie sexuelle ou les condamnations et infractions pénales) ;
  • Lorsque les aspects personnels sont évalués ainsi que l’emplacement ou les mouvements suivis, afin de créer ou d’utiliser des profils personnels ;
  • Lorsque des données à caractère personnel concernant des personnes physiques vulnérables, en particulier des enfants, sont traitées.

Exemple

 

Les autorités considèrent, par exemple, que l’attaque d’une plateforme de vente en ligne et la publication des données (login, mot de passe, historique d’achat) est susceptible d’engendrer un risque élevé. En revanche, le vol d’un CD de sauvegarde de données chiffrées n’est pas susceptible d’engendrer de risque si les données sont chiffrées en conformité avec l’état de l’art en matière d’algorithme de chiffrement, une sauvegarde des données existe et si la clé de cryptologie n’a pas été compromise.

2.2. Notification de l’Autorité de contrôle dans les 72 heures

En cas de violation de la sécurité des données personnelles, le responsable de traitement doit en aviser l’autorité de contrôle concernée sans retard injustifié et dans tous les cas, au plus tard 72 heures après en avoir pris connaissance.

Dans certaines circonstances, il peut en aviser l’autorité après la période de 72 heures. Il devra, dans ce cas, justifier le retard.

Le responsable du traitement devrait être en mesure de prouver à quel moment il a pris connaissance de la violation dans la mesure où il s’agit du point de départ du délai de notification.

Selon les autorités, le responsable du traitement a « pris connaissance » de la violation de données dès lors qu’il a un degré raisonnable de certitude qu’un incident de sécurité ayant conduit à la compromission de données à caractère personnel s’est produit.

En pratique, une première investigation rapide peut être nécessaire afin de recueillir des éléments permettant de confirmer avec un degré raisonnable de certitude la réalité de la violation de données.

Exemple

Les autorités considèrent que si une personne informe le responsable du traitement qu’elle a reçu un faux email de sa part contenant des données à caractère personnel la concernant, cette information ne fera que suggérer qu’une violation de données a eu lieu. Si après une première investigation des indices révélant un accès non autorisé aux données sont recueillis, le responsable du traitement sera alors considéré comme ayant pris connaissance de l’incident.

2.3. Contenu de la notification à l’Autorité

La notification devrait contenir les éléments suivants:

  • Description de la nature de la violation des données à caractère personnel, y compris, le cas échéant, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif de données à caractère personnel concernées
  • Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact où il est possible d’obtenir plus d’informations
  • Description des conséquences probables de la violation des données
  • Description des mesures prises ou envisagées, y compris des mesures visant à atténuer les éventuels effets négatifs

Le responsable de traitement doit documenter toute violation de données afin que l’Autorité puisse vérifier la conformité avec le règlement.

Si le responsable de traitement ne dispose pas de toutes les informations requises, il peut le fournir au fur et à mesure qu’il en prend connaissance.

2.4. Qu’en est-il du sous-traitant ?

Le sous-traitant doit informer le responsable de traitement sans retard excessif après avoir pris connaissance d’une violation de données personnelles.

 

3. Quand faut-il informer les personnes concernées ?

Les personnes victimes de la violation de leurs données personnelles n’ont pas toujours a être informée de l’incident. Notamment si le risque n’est pas suffisamment élevé ou que les mesures nécessaires ont été prises.

3.1. Communication obligatoire lorsqu’il y a « un risque élevé pour les droits et libertés » des individus

Lorsque la violation des données personnelles est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit informer la personne concernée de la violation des données personnelles sans retard injustifié.

Toutefois, dans la pratique, cette notification ne devrait pas remettre en question l’enquête et, par conséquent, la notification devrait être faite dès que raisonnablement possible, en tenant compte du type de risque à atténuer.

La notion de «risque élevé» n’est pas définie dans le RGPD mais les responsables de traitements devraient se référer à la notion de risque telle que définie ci-dessus et évaluer la gravité des conséquences de la violation des données personnelles pour les personnes concernées.

Si le responsable de traitement n’a pas communiqué la violation des données à caractère personnel à la personne concernée lors de la notification à l’autorité, l’autorité de contrôle peut l’exiger.

Des recommandations supplémentaires devraient être communiquées par les autorités sur ce point.

3.2. Exception lorsque des mesures nécessaires ont été prises

Une communication n’est pas requise si l’une des conditions suivantes est remplie:

  • Des mesures de protection technique et organisationnelle appropriées ont été appliquées aux données personnelles concernées et ont rendu les données personnelles inintelligibles, telles que le cryptage
  • Des mesures ultérieures visant à garantir que le risque élevé pour les droits et libertés des personnes concernées ne sont plus susceptibles de se concrétiser ont été prises
  • Cela impliquerait un effort disproportionné. Une communication publique ou une mesure similaire doit être faite pour que les données reçues soient informées de la même manière.
3.3. Contenu de la notification aux personnes concernées

La notification doit décrire en langage clair et clair la nature de la violation des données personnelles, les informations et les mesures prises.

Il devrait également inclure toute recommandation visant à atténuer les effets néfastes de la notification de violation des données.

 

Pour tout savoir des recommandations pratiques du CEPD sur les notifications des violations de données, vous pouvez lire l’article dédié ici.

Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat.

Notification des violations de données personnelles (la théorie)

Cette publication est également disponible en en_GB.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *