• Actualités
  • La gestion d'une violation de données à caractère personnel sous le RGPD: conditions et obligations
La gestion d'une violation de données à caractère personnel sous le RGPD: conditions et obligations

La gestion d'une violation de données à caractère personnel sous le RGPD: conditions et obligations

Mardi, Juin 27, 2023 Compliance RGPD

Le Règlement général sur la protection des données (RGPD, 2016/679) impose des règles strictes en matière de notification des violations de données à caractère personnel.

Aux termes de l’article 4 une violation de données est entendue comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Il convient de noter que le Comité Européen de la protection des données (CEPD) a adopté des lignes directrices (01/2021) présentant des exemples concernant la notification de violations de données à caractère personnel. Ces lignes directrices fournissent ainsi au responsable de traitement et au sous-traitant des orientations concrètes en la matière.

1.     Le champ d’application de l’obligation de notification de la violation de données à la CNIL

Aux termes de l’article 33 alinéa 1 du RGPD le responsable du traitement a pour obligation de procéder à la notification de la violation de données à caractère personne auprès de l'autorité de contrôle compétente, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

Au-delà du délai de 72 heures, l’article 33 alinéas 1 et 4 du RGPD vient préciser que le responsable du traitement doit justifier son retard.

En outre, si toutes les informations requises ne peuvent être fournies dans les 72 heures, le responsable de traitement peut procéder à une notification échelonnée dans les conditions suivantes :

1/ une notification initiale dans les meilleurs délais à la suite de la constatation de la violation ;

2/ une notification complémentaire dans le délai de 72 heures si possible après la notification initiale ;

3/ dans l’hypothèse où le délai de 72 heures serait dépassé, il conviendra, au responsable de traitement d'expliquer, lors de la notification, les motifs du retard.

2.     Le point de départ du délai de l’obligation de notification à la CNIL

Aux termes des lignes directrices du G29 (Lignes directrices du G29 WP250 en date du 3 octobre 2017), « le responsable du traitement devrait être considéré comme ayant pris «connaissance» lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel ».

Ce point de départ a été confirmé par le CEPD en mars 2023 (Lignes directrices CEPD no 9/2022).

3.     L’exception à l’obligation de notification d'une violation de données à la CNIL

Le responsable de traitement n’a pas pour obligation de procéder à une notification si la violation en question n’est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques (Article 33 alinéa du RGPD).

4.     Le contenu de la notification à la CNIL

Aux termes de l’article 33 alinéa 3 du RGPD, la notification doit comporter :

1/ la description de la nature de la violation (les catégories et le nombre approximatif de personnes concernées, ainsi que le nombre d’enregistrements de données concernés) ;

2/ le nom et les coordonnées du DPO ou de tout autre point de contact ;

3/ la description des conséquences probables de la violation,

4/ la description des mesures prises ou proposées pour remédier à la violation y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

5.     Le champ d’application de l’obligation de notification de la violation de données aux personnes concernées

Aux termes de l’article 34 du RGPD, la notification aux personnes concernées est obligatoire si la violation de données est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

Dans cette hypothèse, le responsable du traitement doit communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Le responsable de traitement doit notifier aux personnes concernées par la violation de données, en des termes clairs et simples :

1/ la nature de la violation de données à caractère personnel ;

2/ le nom et les coordonnées du DPO ou de tout autre point de contact ;

3/ la description des conséquences probables de la violation,

4/ la description des mesures prises ou proposées pour remédier à la violation y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

6.     L’exception à l’obligation de notification de la violation de données aux personnes concernées

Le RGPD, aux termes de l’article 34 alinéa 3, prévoit trois exceptions à l’obligation de notification de la violation de données aux personnes concernées.

1/ Si des mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre (par exemple, chiffrement rendant les données incompréhensibles) ;

2/ Si des mesures ultérieures garantissent que le risque élevé ne peut plus se matérialiser ou ;

3/ si la communication exigerait des efforts disproportionnés, auquel cas une communication publique ou une mesure similaire peut être mise en place

le responsable de traitement n’est pas alors pas tenu de procéder à la notification prévue à l’article 34 alinéa 1 du RGPD.

7.     La documentation interne et le registre des violations de données  

Il résulte de l’article 33 alinéa 5 du RGPD que le responsable de traitement doit consigner chaque violation de données dans un registre interne, dans lequel sont consignés les faits, les effets et les mesures prises, ainsi que, le cas échéant, la notification à la CNIL.

8.     Les sanctions encourues en cas de manquement

Aux termes des articles 83 et 83 du RGPD, les sanctions financières relatives au non-respect des obligations imposées par le RGPD peuvent atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros, le montant le plus élevé devant être retenu.

Il est essentiel d’évaluer le niveau de risque engendré par la violation de déterminer de sorte que le responsable de traitement soit à même de déterminer si une notification à l’autorité de contrôle et/ou aux personnes concernées s’avère nécessaire(s).

Le responsable de traitement doit respecter rigoureusement les délais et les exigences formelles définis par le RGPD.

Enfin, il est également conseillé au responsable de traitement de consigner chaque étape du processus et de s’appuyer sur les lignes directrices de la CNIL et du CEPD de manière à garantir la conformité aux obligations légales et règlementaires.

Recherche