Tous les organismes sont victimes de violations de données, quels que soient leur secteur ou leur taille. Cet évènement est source de complications pour les organismes, leurs équipes informatiques (RSSI, DSI, etc.) ainsi que les DPO car il témoigne d’un manquement de sécurité[1], et par conséquent d’une non-conformité au Règlement Général Européen relatif à la Protection des Données à caractère personnel (RGPD).
Or, lorsque ces violations sont susceptibles d’avoir un impact sur la vie privée des personnes concernées, ces dernières doivent être notifiées à la Commission Nationale Informatique et Libertés (CNIL).
En 2020, 2825 violations de données ont été notifiées à la CNIL[2]. Nombre qui a sans aucun doute augmenté en 2021, et augmentera en 2022.
La notification à la CNIL fait partie des obligations majeures du RGPD. Les responsables de traitement doivent, par conséquent, être en mesure de gérer une violation, dès sa survenance, et savoir dans quels cas elles doivent faire l’objet d’une notification.
[1] Le RGPD exige de mettre en œuvre les mesures de sécurité techniques et organisationnelles suffisantes pour protéger les données à caractère personnel, Article 32 du RGPD
[2] Rapport d’activité de la CNIL, 2020, https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_41e_rapport_annuel_-_2020.pdf
Qu’est-ce qu’une violation de données ?
La violation de données est définie comme « une violation de la sécurité qui entraîne, de manière accidentelle ou illicite, l’un des évènements suivants : destruction, perte, altération, divulgation non autorisée, et accès non autorisé aux données à caractère personnel »[1]
Autrement dit, il s’agit d’un incident de sécurité survenant dans le cadre d’un traitement de données, qu’il soit dû à une négligence (erreur humaine), un acte de malveillance (volonté de nuire) ou une erreur technique de sécurité.
Cet incident peut mener à :
- Une divulgation ou un accès à des données personnelles par un tiers n’y étant pas autorisé (violation de la confidentialité des données) ;
Par exemple : Transmission par erreur d’un fichier contenant des données personnelles au mauvais destinataire.
- Une altération des données (violation de l’intégrité des données)
Par exemple : Introduction malveillante dans une base de données par un tiers pour en modifier les données.
- Une destruction ou une perte des données (violation de la disponibilité des données)
Par exemple : Perte d’un appareil contenant une base de données contenant des données personnelles.
[1] Article 4 (12) du RGPD
Comment gérer une violation de données
Plusieurs étapes doivent être suivies afin de gérer correctement une violation de données[1], de sa prise de connaissance jusqu’à sa documentation en interne en passant par l’éventuelle notification CNIL.
En prendre connaissance
Pour pouvoir traiter une violation de données, il est nécessaire d’en avoir connaissance.
Ainsi, il est primordial de sensibiliser les équipes d’une organisation à ce sujet et s’assurer qu’elles puissent identifier une violation de données, et sachent comment alerter les fonctions en charge de son traitement le plus rapidement possible. On parle alors de processus de remontée des incidents.
Le DPO ou la personne en charge de la gestion des violations pourra alors en prendre connaissance et démarrer sa prise en charge.
Attention, dans le cas où le traitement concerné par la violation est réalisé par un sous-traitant[2] pour le compte de l’organisation (en tant que responsable de traitement[3]), ce dernier à l’obligation d’alerter le responsable de traitement dans les plus brefs délais. Cette obligation doit être rappelé dans le contrat liant le responsable de traitement au sous-traitant[4], et le délai d’alerte négocié.
Qualifier la violation de données
Puisqu’il s’agit d’un incident, il faut, pour caractériser la violation, s’assurer que des données à caractère personnel sont concernées.
Une fois qu’il est certain qu’il s’agit d’une violation de données, il s’agit d’en connaitre les caractéristiques et notamment :
- Quel type de violation : perte d’intégrité, de disponibilité ou de confidentialité
- Quelle catégorie de données : données d’identification, données de contacts, données sensibles ou hautement personnelles : données de santé, données bancaires, données judiciaires, numéro de sécurité sociale, etc.
- Quelle catégorie de personnes concernée, et quelle volume : salariés, clients, prospects, administrés, adhérents, mineurs, personnes en situation de handicaps, élèves, etc.
- Quel volume de données et quel volume de personnes concernées : en proportion ou en valeur absolue.
- Quel type de responsable de traitement : établissement de santé, établissement scolaire, établissement financier, e-commerce, etc.
- Ses conséquences probables : risque de phishing, atteinte à l’image ou la réputation, risque financier, risque d’usurpation d’identité, etc.
Ces informations sont essentielles pour connaitre l’étendue et la sensibilité de la violation de données, ainsi que caractériser le risque pour définir les prochaines étapes, éventuellement renseigner une notification à la CNIL et communiquer auprès des personnes concernées, ainsi que remplir le registre des violations.
Remédier au manquement de sécurité
Si une violation de données est caractérisée, elle est nécessairement liée à un manquement de sécurité technique ou organisationnel. Or si la violation de données est toujours en cours, il est impératif d’y remédier immédiatement pour réduire l’impact (ou sa probabilité) potentiel sur les droits et libertés des personnes concernées.
Par ailleurs, les mesures de remédiation prises devront apparaître dans une éventuelle notification à la CNIL ainsi que dans le registre des violations de données.
Notifier la CNIL et les personnes concernées
En fonction de la qualification de la violation de données, si celle-ci est susceptible d’engendrer un “risque pour les droits et libertés des personnes physiques” concernées[5], elle doit être notifiée à la CNIL.
Pour établir ce risque, il s’agit de reprendre les caractéristiques de la violation définis lors de l’étape de qualification (voir plus haut, « qualification de la violation de données »), et de vérifier la facilité avec laquelle les personnes concernées peuvent être identifiées, la vraisemblance du risque (c’est-à-dire la probabilité qu’il se réalise), ainsi que sa gravité éventuelle (c’est-à-dire la gravité de l’impact que la violation peut avoir sur les personnes concernées).
La quantité de situations différentes est presque illimitée, et si dans certains cas, l’évaluation du risque sera facile (données sensibles, personnes vulnérables, volume important de données, etc.), il existe d’autres situations pour lesquelles l’appréciation du risque sera plus délicate. Le DPO, accompagnée de ses équipes (sécurité informatique, DSI, métier, etc.) aura un rôle prépondérant dans la réalisation de cette qualification, et l’orientation du responsable de traitement dans le choix de notifier la CNIL ou non.
Cette évaluation est d’autant plus complexe qu’elle doit être réalisée rapidement : en effet, un responsable de traitement dispose d’un délai de 72 heures (calendaires) à compter de la prise de connaissance de la violation pour notifier la CNIL. Il est évidemment possible de réaliser une « notification initiale », c’est-à-dire provisoire, si le responsable de traitement ne dispose pas de suffisamment d’informations pour réaliser une notification complète. Il devra alors justifier son manque d’information et son retard éventuel.
Cette notification se fait directement depuis un formulaire disponible sur le site de la CNIL[6].
Il s’agira dans cette notification d’indiquer les informations réunies lors de la phase de qualification, ainsi qu’indiquer les coordonnées de la personne à contacter (généralement le DPO), les mesures prises pour remédier à la violation ou pour limiter ses conséquences, ainsi que préciser si les personnes concernées ont ou vont être averties, et si non, pourquoi.
Justement, lorsque la violation est susceptible d’engendrer un « risque élevé pour les droits et libertés d’une personne physique », la notification à la CNIL devra être accompagnée d’une communication auprès des personnes dont les données sont concernées par la violation. Cette mesure a pour objectif de les avertir du risque potentiel pour leurs données, et leur permettre de réagir afin de se prémunir de conséquences préjudiciables (par exemple, en cas de divulgation de leurs identifiants, de pouvoir modifier leur login et leur mot de passe). Pour cette raison, la communication aux personnes concernées doit être logiquement réalisée dans les plus brefs délais à compter de la prise de connaissance de la violation.
Dans le cas où aucun risque ne justifie une notification (les données divulguées sont des données déjà publiques, les données perdues ont été immédiatement restaurées, les données concernées sont chiffrées et le chiffrement n’est pas compromis, etc.), la violation doit néanmoins être documentée et intégrée au registre des violations (voir point suivant).
[1] L’ordre de description n’est pas fixe, certaines peuvent être réalisées en parallèle.
[2] Article 4 (8) du RGPD
[3] Article 4 (7) du RGPD
[4] Article 28 du RGPD
[5] Article 33 du RGPD
[6] https://notifications.cnil.fr/notifications/index
Pour résumer :
| Risque élevé pour la vie privée | Risque pour la vie privée | Aucun risque pour la vie privée |
| Registre interne des violations | Registre interne des violations | Registre interne des violations |
| Notification CNIL | Notification CNIL | X |
| Information des personnes | X | X |
Documentation interne dans le registre des violations
Toute violation de données personnelles doit être documentée dans un registre interne des violations de données[1], maintenu en général par le DPO.
Ce registre permet au responsable de traitement d’avoir un suivi de ses violations de données, et à l’autorité de pouvoir vérifier le respect des obligations de notification en cas de contrôle.
Pour chaque violation de données, doivent être renseignés au minimum : les faits concernant la violation des données, ses effets et conséquences probables, ainsi que les mesures prises pour y remédier.
Il est vivement recommandé d’y indiquer également la justification quant au choix de notifier ou non la CNIL ainsi que les personnes concernées.
Dans le cas où la CNIL a été notifié, la synthèse de notification contient toutes les informations nécessaires à la documentation et peut donc être jointe au registre.
[1] Article 33 (5) du RGPD
Quelles conséquences à la notification ou à son absence ?
Etant donné qu’une violation de données personnelles témoigne d’un défaut de sécurité et potentiellement d’un manquement à la prise de mesure technique et organisationnelle de sécurité, une notification à la CNIL peut amener l’ « autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs » fixés par le RGPD.
La notification à la CNIL est donc couramment associée à un risque de se faire remarquer inutilement par l’autorité.
Toutefois, en cas de retard ou d’absence injustifiée de notification, la CNIL peut sanctionner le responsable de traitement, par exemple par une amende administrative pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Le responsable de traitement (soit le ou les dirigeants) peut également, au titre du code pénal[1], être sanctionné de 300 000€ et 5 ans d’emprisonnement, pour ne pas avoir « procéder à la notification d’une violation de données à caractère personnel […] » en méconnaissance des obligations du RGPD.
Il est donc fortement conseillé de notifier la CNIL lorsque les critères de risques sont réunies, ou dans le doute lorsque la qualification reste complexe.
[1] Article 226-17-1 du Code Pénal
