Article 4.12 : violation des données RGPD
L'article 4.12 du RGPD définit la violation de données comme étant :
"une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données."
Autrement dit, il s'agit d'un incident de sécurité se produisant de manière intentionnelle ou accidentelle et compromettant l'intégrité, la confidentialité ou la disponibilité des données personnelles.
Effectivement, l'incident de sécurité peut compromettre la confidentialité, intégrité ou encore disponibilité, cela signifie que :
- la « violation de la confidentialité » : la divulgation ou l’accès non autorisé(e) ou accidentel(elle) à des données à caractère personnel ;
- la « violation de l’intégrité » : l’altération non autorisée ou accidentelle de données à caractère personnel ;
- la « violation de la disponibilité » : la destruction ou la perte accidentelle ou non autorisée de données à caractère personnel.
Ainsi, une violation de données peut se matérialiser comme :
- la réception d'un mail nous n'étant pas destiné et comprenant des données personnelles
- introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves
- la perte d'une clef usb non sécurisée contenant une copie de la base clients d’une société
Définition simplifiée d'une violation de données :
Une violation de données personnelles est un incident compromettant la sécurité des informations personnelles, susceptible de nuire aux droits et libertés des individus concernés.
Les principaux types de violations de données peuvent être regroupés par catégories :
Rançongiciel | Attaque exfiltration de données | Source interne risque humain | Appareils ou documents papier perdus ou volés | Erreur d'envoi | Ingénierie sociale |
---|---|---|---|---|---|
Sans exfiltration de données et avec sauvegarde ; Sans sauvegarde ; Dans un hôpital (avec sauvegarde et sans exfiltration) ; Avec exfiltration et sans sauvegarde. | Exfiltration de données de candidature à des offres d’emploi ; Exfiltration de mots de passe hachés ; Bourrage d’identifiants sur un site bancaire (credential stuffing). | Exfiltration de données d’entreprise par un employé ; Transmission accidentelle à un tiers. | Matériel volé contenant des données personnelles chiffrées ; Matériel volé stockant des données personnelles non chiffrées ; Documents papier volés contenant des données sensibles. | Erreur d’envoi postal de factures d’achat en ligne ; Données personnelles hautement confidentielles envoyées par courriel par erreur ; Données personnelles envoyées par courriel par erreur ; Erreur d’envoi postal de documents d’assurance. | Vol d’identité; Exfiltration de courriels. |
Quelles sont les obligations légales concernant les violations de données ?
Outre les obligations légales imposées par le RGPD, les grands principes établis sont tout aussi importants.
La documentation
L'article 33.5 du RGPD impose à chaque organisme de tenir une documentation des violations de données.
Cette obligation suppose de documenter en interne l’incident en déterminant :
- la nature de la violation
- si possible, les catégories et le nombre approximatif de personnes concernées par la violation
- les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
- décrire les conséquences probables de la violation de données ;
- décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
Principe général sécurité
C'est à l'article 5.1 du RGPD que sont établis les grands principes de cette règlementation.
Le f) de cet article pose le principe général de sécurité.
Il émane de ce principe l'obligation de :
- prévenir toute violation de données
- réagir de manière appropriée en cas de violation, c'est-à-dire mettre fin à la violation et minimiser ses effets.
Qui est concerné par ces obligations ?
Tous les organismes, publics comme privés et quelle que soit leur taille dès lors qu’ils traitent des données personnelles et qu’ils ont connaissance d’une violation de données personnelles.
Les sous-traitants, qui traitent des données personnelles pour le compte d’un organisme responsable du traitement, ont également des obligations en matière de violation. Ils doivent en particulier alerter l’organisme de tout incident de sécurité dans les meilleurs délais afin qu’ils puissent remplir ses obligations.
Existe-t-il des dérogations à l'obligation d'informer les personnes concernées ?
Oui, il existe des exceptions à cette obligation en cas de violation présentant un risque élevé. Ces exceptions incluent les situations suivantes :
Les données personnelles concernées sont protégées par des mesures techniques et organisationnelles appropriées, rendant les données incompréhensibles pour toute personne non autorisée à y accéder.
- Exemple : Les données sont chiffrées selon les normes de pointe, avec une clé non compromise et générée de manière à être inaccessible par des moyens technologiques existants pour toute personne non autorisée.
Le responsable du traitement a mis en place des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes ne peut plus se concrétiser.
- Exemple : Des mots de passe d’employés ayant accès à une base de données sensibles ont été subtilisés mais n'ont pas été utilisés et ont été réinitialisés rapidement.
La communication de la violation aux personnes concernées nécessiterait des efforts disproportionnés.
- Exemple : Le responsable du traitement ne possède aucun moyen de contacter les personnes concernées.
Dans ce dernier cas, une communication publique ou une mesure similaire doit être mise en œuvre pour informer les personnes concernées de manière efficace.
Quelles sanctions en cas de violation ?
Différentes sanctions sont possibles sur divers fondements :
- L'article 83-4 a) du RGPD : la violation des dispositions de l’article 32 peut faire l’objet d’amendes administratives pouvant s’élever à 10 M € ou 2% du CA mondial consolidé (n-1) ;
- Poursuites pénales ? Aujourd'hui, l’article 226-17 du code pénal sanctionne le non respect des dispositions de l’article 34 de la loi informatique et libertés.
- Indemnisation du préjudice devant les juridictions civiles (art. 82)
- Action de groupe (art. 80)
Un point sur le système de notification et communication :
Lorsque l’incident constitue un risque au regard de la vie privée des personnes concernées, le responsable de traitement doit notifier l’incident à la CNIL.
En termes de délais, il est prévu que la notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.
Il est prévu :
- Une notification initiale dans un délai de 72 heures si possible à la suite de la constatation de la violation ;
- Si le délai de 72 heures est dépassé, vous devrez expliquer, lors de votre notification, les motifs du retard ;
- Enfin, une notification complémentaire dès lors que les informations complémentaires sont disponibles.
En cas de risque élevé, le responsable de traitement devra également notifier les personnes concernées.
En cas de doute, notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.
En ce qui concerne le sous-traitant traitant des données personnelles pour le compte du responsable de traitement, celui-ci devra notifier au responsable de traitement toute violation de données dans les meilleurs délais après en avoir pris connaissance.
Les obligations issues de ce système de notification et communication sont régulièrement sanctionnées. Ce qui fait peser d'autant plus de responsabilité sur le responsable de traitement ou sous-traitant.
Par exemple récemment :
Le 28 décembre 2021, la formation restreinte de la CNIL a sanctionné la société SLIMPAY d’une amende de 180 000 euros notamment pour avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d’une violation de données.
En effet, l'autorité de contrôle a considéré que le risque associé à la violation est élevé :
- compte tenu de la nature des données personnelles : notamment des informations bancaires
- du volume de personnes concernées : plus de 12 millions
- de la possibilité d'identification des personnes concernées par la violation
- des conséquences possibles pour les personnes concernées : risque d'usurpation d'identité ou d'hameçonnage
Ainsi, la société SIMPLAY aurait dû informer les personnes concernées.
Certaines exceptions sont prévues à l'obligation d'information des personnes en cas de violation entraînant un risque élevé :
Exceptions à l'obligation d'information en cas de violation entraînant un risque élevé | Exemple |
---|---|
Les données à caractère personnel affectées par la violation en cause sont protégées par des mesures de protection techniques et organisationnelles appropriées et sont ainsi incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès | Les données ont fait l’objet d’une mesure de chiffrement à l’état de l’art, dont la clé n’a pas été compromise et a été générée de façon à ne pas pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser |
Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes n'est plus susceptible de se matérialiser | Des mots de passe d’employés ayant accès à une base de données sensibles ont été subtilisés, mais n’ont pas été utilisés et ont été réinitialisés |
La communication de la violation aux personnes concernées exigerait des efforts disproportionnés | Le responsable du traitement ne dispose d’aucun élément permettant de contacter les personnes concernées |
Néanmoins, il est prévu, dans les cas susmentionnés, une communication publique, ou une mesure similaire permettant aux personnes concernées d'être informées de manière aussi efficace.
Tableau récapitulatif des obligations de chacune des parties
Voici un tableau récapitulatif des obligations de chacune des parties en cas de violation de données :
Qui est concerné ? | Les obligations |
---|---|
Le responsable de traitement | Notifie à l'autorité de contrôle la violation dans les meilleurs délais, et si possible dans les 72h de la connaissance de la violation ; Cette notification intervient uniquement si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ; Documente toutes les violations de données |
Le sous-traitant | Notifie au responsable de traitement toute violation de données dans les meilleurs délais après en avoir pris connaissance |
L'autorité de contrôle | Reçoit la notification ; Vérifie la documentation de la violation par le responsable de traitement ; Vérifie si les conditions de communication sont remplies ou non ; Peut ordonner au responsable de traitement de communiquer à la personne concernée la violation de données |
La personne concernée dont les données ont été violées | Reçoit communication de la violation en cas de risque élevée pour les droits et libertés |
Pourquoi s'équiper d'un outil ?
Avec un outil vous répondez à l'obligation légale de documentation et respectez le principe général de sécurité notamment en adoptant une gestion par les risques.
Un outil vous permettra d'être guidé, bénéficier d'un historique, analyser les rapports d'incidents et mettre en œuvre des mesures préventives ainsi que de gérer les risques.
Vous pourrez visualiser la réalité des mesures techniques et organisationnelles mises en place et les adapter.