Violations de données : retour d'expérience & bonnes pratiques

Dans la plupart des cas, ces violations ont pour origine une atteinte à la confidentialité des données.

Si le RGPD oblige les entreprises et organismes publics à notifier auprès de l’autorité administrative compétente les violations de données à caractère personnel dont ils font l’objet et les oblige même, dans certains cas, à en informer les personnes concernées, les premiers mois d’expérience du RGPD témoignent de difficultés opérationnelles.

Enjeu majeur et stratégique, tant en termes de risque de sanction que d’image, la question des violations de données et de leur notification exige une vigilance particulière et l’adoption de bonnes pratiques.

Les points clés à aborder face à une violation de données 

Quand notifier l’autorité ? 

La matérialisation d’une faille de sécurité dans un système d’information ne constitue pas nécessairement une violation de données au sens de l’article 4 du RGPD. Une violation de données se caractérise par une atteinte, y compris un simple accès non autorisé, à des données à caractère personnel.

Toutes les violations de données ne nécessitent cependant pas d’être notifiées à la CNIL. Pour savoir quand cela s’impose, il convient d’évaluer le risque pour les droits et libertés des personnes concernées.

L’article 33 du RGPD précise qu’il est nécessaire de déterminer si la violation est susceptible d’engendrer un risque « élevé » pour les droits et libertés des personnes. Dans le cas contraire, le responsable de traitement n’a pas l’obligation de notifier à l’autorité compétente cette violation de données à caractère personnel.

Ce risque devra s’évaluer au cas par cas et s’apprécier notamment au regard du type de violation : violation affectant l’intégrité, la confidentialité ou la disponibilité des données, mais également la nature, la sensibilité et le volume de données personnelles concernées, la facilité d’identifier les victimes de la violation, le volume de personnes concernées, leurs caractéristiques (enfants, personnes vulnérables) et les conséquences possibles pour celles-ci.

En cas de doute, la CNIL recommande de procéder en tout état de cause à la notification.

Le RGPD impose de notifier les violations de données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Il s'agit d'un délai court et crucial afin d’être en mesure de collecter l’ensemble des informations nécessaires à la notification.

Le point de départ du délai constitue un élément à apprécier précisément notamment dans l’hypothèse où l’information concernant la violation de données proviendrait d’un sous-traitant.

Par exemple, il est possible de considérer qu’une information partielle de la part du sous-traitant, qui ne permettrait pas d’en déduire la matérialisation d’une violation de données, pourrait ne pas constituer le point de départ du délai de 72 heures imparti.

L’intégration de cette problématique dans le cadre de l’élaboration et négociation des contrats responsable de traitement/sous-traitant pourra à certains endroits s’avérer précieuse.

Comment notifier ?

La charge de procéder à la notification de données personnelles repose sur le responsable de traitement. Toutefois, lorsqu’il notifie, le responsable de traitement s’identifie et indique également « si d'autres sociétés ou organisations sont impliquées dans la violation » tel qu’un responsable de traitement conjoint et/ ou un ou plusieurs sous-traitant(s) impliqué(s) dans la violation de données.

En France, la CNIL met à disposition sur son site Internet un formulaire dédié permettant de notifier toute violation de données à caractère personnel.

C’est un système potentiellement graduel construit par l’autorité permettant de procéder dans un premier temps à une « notification initiale » qui aura vocation à être complétée dans « les meilleurs délais » par une notification complémentaire.

En pratique, il est souvent impossible de dresser en 72 heures un portrait exhaustif de la violation de données constatée, notamment quand celle-ci résulte d’un acte de malveillance externe et que les impératifs de vérification cyber sécurité ne permettent pas toujours d’obtenir des réponses rapides. Compléter le formulaire de notification devra nécessairement faire intervenir différents acteurs/services au sein de l’entreprise et la coordination constituera là encore une étape cruciale.

Pour faire face aux enjeux opérationnels et organisationnels engendrés par la survenance d’une violation de données et les obligations réglementaires y étant attachées, il peut être recommandé de mettre en place, en amont, un mode de fonctionnement dédié sur le modèle des cellules de gestion de crise.

Lorsque le traitement de données à caractère personnel concerné par la violation constitue un traitement transfrontalier en Union européenne, la question de l’autorité compétente auprès de laquelle effectuer la notification devra nécessairement être traitée.

En cas de sous-traitance, c’est l’autorité compétente sur le territoire où est établi le responsable de traitement qui devra être notifiée. La désignation d’une autorité chef de file pourrait cependant rebattre les cartes.

La coresponsabilité transfrontalière sur un traitement entraînera elle la nécessité quasi systématique de notifier la violation de données auprès des deux autorités compétentes.

Communiquer auprès des personnes concernées ?

L’obligation de notification d’une violation de données personnelles auprès de l’autorité de contrôlé n’implique pas systématiquement le besoin d’avertir les personnes physiques en ayant été la cible.

L’article 34 du RGPD dispose en effet que les personnes concernées doivent être informées dans les meilleurs délais « lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique ».

La communication aux personnes concernées est donc conditionnée par l’existence d’un risque élevée pour les droits et libertés de ces derniers.

En outre, la règlementation prévoit également des exceptions au principe de communication aux personnes concernées, notamment lorsque les données personnelles affectées par la violation sont protégées par des mesures de protection techniques et organisationnelles appropriées telles qu’une méthode de chiffrement ou lorsque le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n'est plus susceptible de se matérialiser.

De même, lorsque la communication de la violation aux personnes concernées exigerait des efforts disproportionnés ou qu’une telle communication pourrait représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique, la communication aux personnes concernées n’est pas exigée. 

L’interprétation de ces exceptions reste à ce jour relativement abstraite. En outre, l’étendue de leur périmètre laisse une marge d’interprétation suffisamment large pour permettre dans de nombreux cas de figure d’envisager l’absence d’obligation de communiquer sur la violation constatée auprès des personnes concernées.

En France, il convient de considérer que la CNIL sera très vigilante sur l’appréciation de cette obligation et sur la mise en œuvre de celle-ci en cas de violation de données. Le formulaire de notification à l’autorité exige notamment qu’il soit répondu à la question de savoir si cette notification a été effectuée ou si il est prévu que celle-ci soit réalisée.

Constituant un enjeu et une source de risques considérables pour l’entreprise, le contenu de la communication aux personnes concernées, et particulièrement sa forme, tout en reprenant les informations exigées par le RGPD, doit être stratégiquement élaboré.

Il est important de rappeler qu’aux obligations de notification et de communication, s’ajoute celle de documenter ces incidents et les informations relatives à leur gestion. La tenue et conservation d’un registre des violations de données s’avère donc nécessaire.

Constituant un enjeu et une source de risques considérables pour l’entreprise, l’anticipation sur le traitement de ces violations et la constitution d’un arsenal de gestion de crise constituent très certainement des clés indispensables.