RGPD et violation de données personnelles : la notification à la CNIL

La perte d’une clé USB, la fuite massive de données de santé, l’incendie chez un hébergeur de serveurs ou encore l’introduction malveillante dans une base de données constituent des exemples parlants de violations de données à caractère personnel.

Le RGPD définit la notion à son article 4.12). Selon la CNIL, il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Tous les organismes qui traitent des données personnelles doivent répondre à une obligation générale de sécurité. Les sous-traitants, qui traitent des données personnelles pour le compte d’un organisme responsable du traitement, ont également des obligations en matière de violation : ils doivent en particulier alerter l’organisme de tout incident de sécurité dans les meilleurs délais afin qu’ils puissent remplir ses obligations.

Les obligations issues des articles 33 et 34 du RGPD permettent de mettre fin à la violation de données et minimiser ses effets :

• Déterminer l’existence d’une violation de données personnelles en alimentant le registre des violations
• Analyser le niveau de risque engendré
• Déterminer s’il convient de notifier la violation à la CNIL voire d’informer les personnes concernées

Ainsi, dans un premier temps, les responsables de traitements de vos établissements et services recensent dans le registre des violations de données l’ensemble des éléments relatifs à la violation, ses effets et les mesures prises pour y remédier. Ce document peut être contrôlé par la CNIL dans l’objectif de vérifier le respect des obligations en matière de violations et, de manière générale, la conformité au RGPD.

Le registre des violations doit notamment contenir les éléments suivants :

• La nature de la violation ;
• Les catégories et le nombre approximatif de personnes concernées par la violation, dans la mesure du possible ;
• Les catégories et le nombre approximatif de fichiers de données à caractère personnel concernés ;
• Les conséquences probables de la violation de données ;
• Les mesures prises ou que vous envisagez de prendre pour éviter que cet incident ne se reproduise ou atténuer les éventuelles conséquences négatives.

Ensuite, dans un deuxième temps, le responsable de traitement de votre établissement définit le niveau de risque pour les personnes concernées par la violation de données personnelles en tenant compte des éléments suivants :

• Le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;
• La nature, la sensibilité et le volume des données personnelles concernées ;
• La facilité d’identifier les personnes touchées par la violation ;
• Les conséquences possibles de celles-ci pour les personnes ;
• Les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.) ;
• Le volume de personnes concernées ;
• Les caractéristiques du responsable du traitement (nature, rôle, activités).

En effet, l’obligation de notifier dépend du niveau de risque que la violation de données personnelles fait peser sur les droits et libertés des individus dont les données ont été impactées.

Trois cas de figures sont possibles :

1. Si la violation n’entraîne pas de risque pour les droits et libertés des personnes concernées, le responsable de votre établissement ne doit pas notifier cette violation ni à la CNIL, ni aux personnes concernées.
   – Par exemple, la divulgation de données déjà rendues publiques ou la suppression de données sauvegardées et immédiatement restaurées ne comportent pas de risque justifiant une notification à la CNIL ou aux personnes concernées.
2. Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement de votre établissement doit documenter en interne la violation qui vient de se produire et doit notifier cette violation à la CNIL, le plus rapidement possible, dans un délai maximal de 72h.
3. Si la violation entraîne un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement de votre établissement répond aux obligations précédentes et doit aussi communiquer la violation aux personnes concernées, le plus rapidement possible.

Il convient de souligner que le responsable de traitement transmet à la CNIL la notification sous 72 heures à la suite de la violation présentant un risque pour les droits et libertés des personnes.

La notification de violation des données doit contenir a minima les éléments suivants :

• La nature de la violation ;
• Les catégories et le nombre approximatif des personnes concernées ;
• Les catégories et le nombre approximatif de fichiers concernés ;
• Les conséquences probables de la violation ;
• Les coordonnées de la personne à contacter (DPO ou autre) ;
• Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Dans la mesure où le responsable de traitement de l’établissement ne peut pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, il est possible de procéder à une notification en deux temps :

1. Une notification initiale dans un délai de 72 heures si possible à la suite de la constatation de la violation. Si le délai de 72 heures est dépassé, vous devrez expliquer, lors de votre notification, les motifs du retard
2. Une notification complémentaire dès lors que les informations complémentaires sont disponibles

Dans le cas où vous disposez de toutes les informations requises dans le délai imparti, vous procéderez à une notification complète.

Ces nouvelles obligations visent à préserver à la fois les responsables du traitement afin de sécuriser leurs données mais aussi les personnes concernées par la violation afin d’éviter qu’elle ne leur cause des dommages ou préjudices.

Une procédure globale en matière de violation de données personnelle doit être prévue et mise en place dans vos établissement et services. Pour cela, une fiche technique « notifier une violation de données » est disponible dans cette newsletter pour vous présenter la méthodologie du Cabinet ACCENS : lien essentiel entre vos structures et la CNIL.

Toute l’équipe du Cabinet ACCENS Avocats se tient à votre disposition pour vous accompagner dans la mise en œuvre du RGPD et pour toutes informations supplémentaires.