Violations de données

When do you need to notify a data breach?

Les données personnelles que vous traitez ont-elles été perdues, volées ou compromises ?

Le traitement est-il susceptible d’engendrer des risques élevés ?

Des exceptions s’appliquent-elles ?

It’s important that you notify the competent data protection authority (DPA) within 72h.

If the data breach affects individuals in more than one country across Europe, you need to notify the lead DPA.

Is the data breach likely to result in a high risk to individuals’ rights and freedoms?

Dois-je effectuer une AIPD ?

Oui, vous devez réaliser l’AIPD

Reste-t-il risques élevés après l’AIPD ?

Dois-je effectuer une AIPD ?

No personal data breach has occurred.

Consultez votre autorité de protection des données

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

Les violations de données peuvent avoir un impact négatif sur votre organisation. Des pertes financières, aux amendes, en passant par la baisse de la confiance des clients, l’impact des violations de données peut être massif. C’est pourquoi il est essentiel de mettre en œuvre de bonnes pratiques et procédures en matière de cybersécurité pour prévenir les incidents de sécurité. Malgré cela, vous risquez toujours de subir une violation de données que vous pourriez avoir à notifier à votre autorité de protection des données (APD) ou à communiquer aux personnes concernées.

Qu’est-ce qu’une «violation de données personnelles»

Une violation de données à caractère personnel signifie «une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données à caractère personnel».

Les organisations doivent être conscientes qu’une violation de données à caractère personnel peut couvrir bien plus que la simple « perte » des données à caractère personnel. La violation de données comprend les incidents affectant la confidentialité, l’intégrité ou la disponibilité des données personnelles. Il est important de noter que ce terme couvre aussi bien des incidents de sécurité résultant  d’accidents (comme l’envoi d’un e-mail au mauvais destinataire, la perte d’une clé USB contenant des données client ou la suppression accidentelle de données médicales pour lesquelles aucune sauvegarde n’est disponible), que des actes délibérés (comme les attaques de phishing pour accéder aux données des clients).

En d’autres termes, cela inclut les situations où quelqu’un accède à des données personnelles ou les transmet sans autorisation appropriée, ou lorsque les données personnelles sont rendues indisponibles à cause d’un cryptage effectué par un ransomware, ou encore des cas de perte ou destruction accidentelle. Bien que toutes les violations de données personnelles soient des incidents de sécurité, tous les incidents de sécurité ne sont pas nécessairement des violations de données à caractère personnel (puisqu’il peut n’y avoir aucune donnée personnelle impliquée dans un incident de sécurité spécifique).

Lien
Art. 4 RGPD

EUR-Lex

Obligations pour les responsables du traitement des données

Si votre PME agit en tant que responsable du traitement des données, il existe trois principes essentiels concernant les violations de données.

  1. Documentation de toute violation de données personnelles ;
  2. notification de toute violation de données à caractère personnel à l’autorité compétente en matière de protection des données (APD) dans un délai de 72 heures, à moins qu’il ne soit peu probable qu’elle entraîne un risque pour les personnes; et
  3. la communication de cette violation aux particuliers dans les meilleurs délais, lorsque la violation est susceptible d’entraîner un risque élevé pour les individus.

Il est de la plus haute importance que les responsables du traitement comprennent et respectent ces obligations, et mettent en place à l’avance les procédures appropriées qui leur permettront de déterminer objectivement en temps utile si l’une des notifications mentionnées ci-dessus est requise.

En tout état de cause, pour toutes les violations — même celles qui ne sont pas notifiées à une APD, au motif qu’elles ont été jugées peu susceptibles d’entraîner un risque — le responsable du traitement doit enregistrer au moins les détails de base de la violation, son évaluation de l’incident, ses effets et les mesures prises en réponse, conformément à l’article 33, paragraphe 5, du RGPD.

Lien
Art. 5 RGPD

EUR-Lex

Lien
Art. 33 RGPD

EUR-Lex

Lien
Art. 34 RGPD

EUR-Lex

Que faire et comment agir?

Notification de violation de données à l’APD concernée

Conformément à l’article 33.1 du RGPD, toutes les violations de données devraient être notifiées à l’APD concernée, à l’exception de celles qui sont peu susceptibles de présenter un risque pour les personnes physiques. Pour faciliter cette notification, les APD ont mis en place des procédures ou des formulaires en ligne qui vous guideront étape par étape pour assurer que vous fournissiez toutes les informations requises.

Si la violation a lieu dans le cadre d’un traitement de données transfrontalier et qu’une notification est requise, le responsable du traitement des données, s’il est établi dans l’EEE, devra notifier l’APD chef de file. Ainsi, lors de l’élaboration de son plan de réaction en cas d’infraction, un responsable du traitement des données devrait déjà évaluer quelle APD est la principale APD qu’il devra notifier. Si le responsable du traitement des données a des doutes quant à l’identité de l’APD chef de file, il devrait, au minimum, notifier à l’APD locale de l’endroit où la violation a eu lieu.

Lorsque la notification est requise, cela doit être fait dès que possible et dans les 72 heures après avoir été informé de la violation. Si cela n’est pas possible, une justification du retard sera nécessaire. Une organisation doit être considérée comme étant «au courant» d’une violation lorsqu’il existe un degré raisonnable de certitude qu’un incident de sécurité s’est produit et a compromis des données à caractère personnel.

Afin de pouvoir démontrer à l’APD concernée quand et comment elle a eu connaissance d’une violation de données à caractère personnel, il est recommandé que toute organisation, dans le cadre de ses procédures internes relatives aux violations de données à caractère personnel, dispose d’un système permettant d’enregistrer comment et quand elle prend connaissance des violations de données à caractère personnel et comment elle évalue le risque potentiel que représente la violation.

Lorsqu’il n’est pas possible de fournir toutes les informations pertinentes à l’APD dans le délai de 72 heures, la notification devrait se faire en plusieurs étapes. Une notification initiale devrait être déposée et des informations complémentaires peuvent être fournies par étapes par la suite.

De même, conformément à l’article 33.2 du RGPD, si votre PME est un sous-traitant qui traite des données à caractère personnel pour le compte d’une autre organisation, vous devez informer le responsable du traitement de toute violation de données à caractère personnel dans les meilleurs délais. Cela est d’une importance capitale pour permettre au responsable du traitement de se conformer à ses obligations de notification en temps utile. Les exigences relatives à la déclaration des violations devraient également être détaillées dans le contrat entre le responsable du traitement des données et le sous-traitant, comme l’exige l’article 28 du RGPD.

Une notification d’une violation de données à caractère personnel à l’APD concernée doit au moins:

  • décrire la nature de la violation de données à caractère personnel, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif de fichiers de données à caractère personnel concernés;
  • communiquer le nom et les coordonnées du délégué à la protection des données (DPD) ou d’un autre contact auprès duquel de plus amples informations peuvent être obtenues;
  • décrire les conséquences probables de la violation de données à caractère personnel; et
  • décrire les mesures prises ou proposées par la PME pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs.
Lien
Art. 5 RGPD

EUR-Lex

Lien
Art. 28 RGPD

EUR-Lex

Lien
Art. 33 RGPD

EUR-Lex

Lien
Data Breach Formulaires de notification DPAs

Communication de cette violation aux personnes concernées

En outre, certaines violations de données doivent être notifiées  dans les meilleurs délais aux personnes concernées. C’est le cas lorsque la violation de données à caractère personnel est susceptible d’entraîner un risque élevé pour les droits et libertés d’une personne physique.

L’objectif de cette exigence est de veiller à ce que les personnes touchées puissent prendre les précautions nécessaires lorsque des incidents sont susceptibles d’entraîner un risque élevé pour elles.

Ces communications doivent être faites sans délai et, le cas échéant, en étroite coopération avec l’APD concernée. Dans les cas où il est nécessaire d’atténuer un risque immédiat pour les individus, une communication rapide sera nécessaire.

Il existe des circonstances dans lesquelles les responsables du traitement ne seront pas tenus d’informer les personnes concernées, telles que:

  • le responsable du traitement avait chiffré les données et les clés de chiffrement n’ ont pas été compromises;
  • le responsable du traitement des données a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes n’est plus susceptible de se matérialiser;

ou

  • cela demanderait des efforts disproportionnés. Dans un tel cas, toutefois, le responsable du traitement doit toujours veiller, au moyen d’une communication publique ou d’une mesure similaire, à ce que les personnes soient informées de manière tout aussi efficace.

Cette communication à l’individu doit décrire dans un langage clair et simple la nature de la violation de données à caractère personnel et inclure au moins les informations suivantes:

  • le nom et les coordonnées du délégué à la protection des données ou d’un autre contact auprès duquel de plus amples informations peuvent être obtenues;
  • une description des conséquences probables de la violation de données à caractère personnel; et
  • une description des mesures prises ou proposées par l’organisation pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs.
  • la communication devrait également décrire des recommandations à l’intention des personnes concernées afin d’atténuer les effets négatifs potentiels de la violation.

Les responsables du traitement des données et les sous-traitants sont encouragés à planifier à l’avance et à mettre en place des processus permettant de détecter et de contenir rapidement une violation, d’évaluer le risque pour les personnes, puis de déterminer s’il est nécessaire d’informer l’autorité compétente de protection des données et de communiquer la violation aux personnes concernées si nécessaire.

Lien
Art. 34 RGPD

EUR-Lex

Lien
Lignes directrices sur les exemples de notification de violation de données à caractère personnel

EDPB

Lien
Lignes directrices sur la notification des violations de données à caractère personnel en vertu du RGPD

EDPB

Quand devez-vous notifier une violation de données?

Flowchart: When do you need to notify a data breach?