L’identification et la prise en compte des violations de données personnelles nécessitent des réponses rapides, souvent mises en œuvre dans l’urgence.
L’objet de cet article est de proposer des préconisations et conseils pour anticiper et définir des politiques efficaces et conformes.

La notion de violation de données à caractère personnel est définie à l’article 4.12 du RGPD comme une violation de la sécurité de manière accidentelle ou illicite de laquelle résulte une destruction, perte, altération, divulgation ou accès non autorisée à l’égard des données à caractère personnel qui sont transmises, conservées ou traitées. Par exemple, constituent une violation, un accès non autorisé par un salarié à des dossiers confidentiels, un vol ou une perte d’archives (papier ou numérique) ou encore l’absence de mise en place de mesures de sécurité représentent des violations de données. Si vous êtes une entité publique ou privée et quelle que soit la taille de votre organisation, vous devez respecter des règles spécifiques lorsque vous êtes amenés à traiter des données personnelles et que vous constatez une violation de ces données, que ce soit en tant que responsable du traitement ou en tant que sous-traitant.

Le présent article a pour objectif de vous présenter la procédure à suivre et ses modalités, sur la base des préconisations et des délibérations de la CNIL et de l’EDPB. Cet article prend aussi en compte notre pratique en la matière.

Etape 1 - Identification de la violation de données.

Vous devez d’abord identifier l’origine de la violation de données personnelles et notamment déterminer si la violation a été découverte en interne, chez un sous-traitant ou encore lors d’un audit. Cette étape est cruciale et doit être effectuée minutieusement, avec tous les acteurs concernés (DSI, DRH, prestataire concerné etc…).

Ainsi, aucune mesure correctrice ne doit être prise avant de contacter le référent RGPD ou le Délégué à la protection des données de votre organisation. En effet, il importe de pouvoir faire un état des lieux précis de la situation au moment de la violation et suite à la violation.

Etape 2 - Informer les interlocuteurs pertinents.

Vous devez informer immédiatement le prestataire concerné (par exemple la société en charge des systèmes informatiques) ou le service concerné pour évaluer la violation de données personnelles et les mesures urgentes à prendre. Vous devez également contacter immédiatement le référent RGPD ou Délégué à la protection des données de votre organisation qui est le point de contact de l’organisme en matière de protection des données personnelles et qui doit être associé à l’ensemble de ce processus.

Etape 3 - Investigation et évaluation de la violation de données personnelles.

Vous devez mener une investigation approfondie pour évaluer la nature et l’étendue de la violation. Il est crucial pour cela de documenter tous les détails disponibles, en remplissant un questionnaire “violation de données” qui aura été créé et diffusé en interne, au préalable. A ce titre, il faut rappeler que les entités concernées doivent disposer de procédures en matière de prévention des violations de données personnelles, conformément aux articles 32 et suivants du RGPD.

Vous devez aussi mettre en place une réunion à bref délai (et au plus tard dans les 24h) avec le référent RGPD ou le Délégué à la protection des données.

Vous devez évaluer, dans le cadre de cette investigation, la gravité de la violation de données à l’aide d’un questionnaire “violation de données” à mettre en place et qualifier la violation comme les mesures à envisager.

Le questionnaire suivant qui contient le recueil des informations pertinentes, une grille d’évaluation et la prise en compte d’éventuels commentaires peut servir de questionnaire de référence pour votre organisation.
Parmi les informations à collecter, les aspects suivants doivent être pris en compte :

• Date de la violation : heure, jour, mois, année ;
• Date de découverte de la violation : heure, jour, mois, année ;
• Source ayant eu connaissance de la violation de données : nom, coordonnées ;
• Source de l’information sur la violation de données : source interne, externe, audit, plainte, autre, etc.
• Nature de la violation : Perte de confidentialité, perte d’intégrité, perte de disponibilité ;
• Type de violation : destruction illégale de données personnelles, destruction accidentelle, perte illégale, altération illégale, divulgation non autorisée, accès non autorisé, vol de données, etc.
• Support de la violation : Papier, électronique, autre, etc ;
• Traitement de données concernées : collecte, conservation, croisement, autre, etc.
• Volume de données atteintes (nombre approximatif de données ou fichiers atteints) : nombre de fichiers, données violées ou de personnes concernées ;
• Données personnelles concernées : nom, prénom, adresse, e-mail, données bancaires, données sur l’origine ethnique, raciale, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données de santé, orientation sexuelle, autre, etc.
• Pays de stockage des données : au sein de l’UE / en dehors de l’UE.

Ces informations sont aussi à collecter, en prenant en compte les données demandées par la CNIL en cas de notification de violation de données.

Cette phase d’investigation doit permettre d’évaluer la nature de la violation, son étendue et sa gravité. Elle doit aussi permettre de qualifier ou non l’incident en cause de violation de données personnelles.

Etape 4 - Mesures correctives et limitation des dommages.

Vous devez ensuite déterminer si des mesures correctives peuvent être mises en place. Il faut noter qu’un constat d’huissier peut être opéré dans certains cas pour attester de la nature de la violation et des mesures correctives mises en place. Ce constat peut aussi permettre de souligner les mesures qui étaient déployées au moment de la violation.

Les mesures prises peuvent permettre de contenir la violation et de limiter ses effets et par exemple :

• demander aux personnes concernées de changer leurs mots de passe ;
• sensibiliser les personnes concernées sur toute tentative de phishing ;
• rétablir des données à l’aide de sauvegardes…

Cette étape est cruciale et peut permettre dans de nombreux cas de limiter l’impact de la violation de données. Ces mesures doivent aussi prendre en compte la nécessité de protéger la vie privée des personnes concernées et d’anticiper toute atteinte future.

Etape 5 - Notifier la violation à la CNIL (ou à l’autorité concernée).

En vertu de l’article 33.1 du RGPD, certaines violations de données susceptibles d’entrainer des risques pour les droits et libertés des personnes doivent être notifiées à l’autorité de contrôle (CNIL).

S’il existe un risque pour les droits et libertés des personnes concernées par la violation, vous devez notifier la violation à la CNIL dans un délai de 72h à compter de la découverte de celle-ci. La prise en compte de ce délai doit être soulignée : elle témoigne de l’importance de pouvoir dater la survenance de la violation.

La prise de connaissance de la violation de données constitue le point de départ du délai de 72h. Cette prise de connaissance de la violation correspond au moment où vous avez la certitude raisonnable qu’un incident a eu lieu et implique des données personnelles. Cette certitude raisonnable peut être établie après avoir pris des mesures de détection des violations et d’investigations.

A noter, il est possible d’effectuer une notification en deux temps, dans le cas où vous ne disposez pas de l’ensemble des informations requises dans le délai de 72h :

• Une notification initiale est établie dans un délai de 72h après constatation de la violation ;
• Après dépassement du délai de 72h, une notification doit tout de même être effectuée, mais il faudra expliquer/justifier des motifs de retard ;
• Une notification complémentaire doit être effectuée dès que les informations complémentaires sont disponibles.

En pratique vous devez faire preuve d’anticipation afin d’éviter de recourir à la notification en deux temps.
Les éléments suivants doivent être notifiés à la CNIL :

• La nature de la violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;
• Les catégories et le nombre approximatif des personnes concernées ;
• Les catégories et le nombre approximatif d’enregistrements concernés ;
• Les conséquences probables de la violation ;
• Les coordonnées de la personne à contacter (DPO ou autre) ;
• Les mesures prises pour remédier à la violation et pour en limiter les conséquences négatives.

Remarque : Si la violation est liée à des faits susceptibles d’être qualifiés d’infractions pénales, il peut être opportun de déposer une plainte pénale.

Afin de déterminer le degré de risque pour les droits des personnes des personnes, vous devez prendre en considérations les éléments suivants :

• Le type de violation (affectant l’intégrité, la confidentialité, la disponibilité des données) ;
• La nature et sensibilité des données, ainsi que le volume de données concernées ;
• Les conséquences et risques possibles pour les personnes ;
• Les caractéristiques des personnes concernées (enfants, personnes vulnérables, etc.) ;
• Le volume de personnes concernées ;
• Les spécificités liées au responsable de traitement (nature, rôle, activités).

Exemples de situations qui nécessitent une notification à la CNIL - selon les lignes directrices du Comité européen de la protection des données (CEPD) :

• Un matériel stockant des données à caractère personnel non chiffrées et non protégées par un mot-de-passe a été volé (absence de protection adéquate) ;
• Des données à caractère personnel hautement confidentielles ont été transmises par erreur par courrier.

Exemples de situations qui ne nécessitent pas de notification à la CNIL :

• Exfiltration de mot de passe mais ceux-ci sont protégés à l’aide d’un algorithme fort qui n’a pas été compromis et le responsable de traitement a demandé aux personnes concernées de changer leur de mot-de-passe ;
• Une attaque par rançongiciel sans exfiltration de données chiffrées (avec clé non compromise), le responsable de traitement a répondu à l’incident en rétablissant les données à l’aide d’une sauvegarde.

Etape 6 - Notifier la violation aux personnes concernées.

S’il existe un risque élevé pour les droits et libertés des personnes concernées par la violation (article 34.1 du RGPD), vous devez notifier la violation aux personnes concernées dans les meilleurs délais. Afin de déterminer le degré de risque élevé pour les droits des personnes, vous devez aussi prendre en considérations les éléments précédemment mentionnés à l’étape 5.

La personne doit être notifiée en des termes clairs et précis des éléments suivants :

• La nature de la violation ;
• Les conséquences probables de la violation ;
• Les coordonnées de la personne à contacter (DPO ou autre) ;
• Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

A noter : Cette notification doit également, si nécessaire, être complétée de recommandations et mesures de précautions destinées à la personne concernée, afin d’atténuer les éventuels effets de la violation. Par exemple, le changement de mot-de-passe ou la demande de sauvegarde sur un support personnel des données sont des recommandations pertinentes.

Exemples de situations qui nécessitent une notification aux personnes concernées - selon les lignes directrices du Comité européen de la protection des données (CEPD) :

• la nécessité d’atténuer les risques de dommages peut justifier de la part du responsable de traitement de demander aux personnes concernées de changer leur mot-de-passe ;
• la nécessité d’éviter d’autres dommages peut justifier d’informer les personnes concernées afin qu’elles prennent les mesures nécessaires, par exemple bloquer leur carte de crédit.

Exemples de situations qui ne nécessitent pas de notification aux personnes concernées :

• si le responsable de traitement a pris des mesures pour protéger les données avant l’incident. Par exemple, le chiffrage de données avec une clé non compromise lors d’une attaque ne nécessite pas une notification aux personnes concernées.
• des mesures qui ont été prises après l’incident empêchent le risque élevé de se produire. Par exemple, des mots-de-passe ont été récupérés mais non utilisés et réinitialisés entretemps.

Etape 7 - Documenter la violation de données.

Vous devez documenter chaque violation de données et mettre à jour votre registre des violations de données. Cette obligation doit être respectée quel que soit le niveau de risque encouru par la violation. Pour autant, cette obligation doit faire l’objet d’un suivi attentif en cas de traitements présentant un risque élevé pour la vie privée des personnes. À la suite d’une violation de données, vous devez recenser au sein d’un registre des violations, les faits concernant la violation, mais aussi ses effets et les mesures prises pour remédier à la violation. Cela signifie qu’une violation qui n’aurait pas été notifiée à la CNIL et aux personnes concernées doit être consignée dans ce registre.

Ce registre permet de prouver le respect de vos obligations en matière de violation de données lors d’un éventuel contrôle par l’autorité de protection des données (CNIL).

Il est primordial de recenser au sein de ce registre - pour chaque violation - les éléments suivants :

• La nature de la violation ;
• Les catégories et le nombre approximatif des personnes concernées ;
• Les conséquences probables de la violation ;
• Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
• Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Cette documentation doit enfin être suivie de mesures correctives ou d’actions de formation ou de sensibilisation pour prévenir de nouvelles violations et renforcer les mesures organisationnelles dans ce domaine.

L’organisme concernée devra aussi mettre en place les outils nécessaires pour traiter chaque incident de sécurité, quel que soit son contexte [1].

Jérôme Deroulez Avocat au Barreau de Paris [->deroulez@cabinetderoulez.com]