DORA et RGPD : gérer les incidents données personnelles
DORA et RGPD : comment gérer les incidents affectant des données personnelles dans le secteur financier. Double notification.
L’entrée en application du règlement DORA (Digital Operational Resilience Act) le 17 janvier 2025 a créé un régime de notification des incidents TIC qui se superpose aux obligations existantes du RGPD en matière de violation de données personnelles. Pour les entités financières, la gestion d’un incident affectant des données personnelles impose désormais de naviguer entre deux régimes de notification distincts, avec des autorités compétentes, des délais et des critères de déclenchement différents.
Cette double obligation constitue un défi opérationnel majeur, en particulier pour les fintech qui doivent concilier DORA, RGPD et DSP2. Un incident informatique – cyberattaque, fuite de données, panne de système – peut simultanément constituer un incident TIC majeur au sens de DORA et une violation de données personnelles au sens de l’article 33 du RGPD.
Le double régime de notification
La notification DORA (articles 17 à 23)
Le règlement DORA impose aux entités financières de notifier les incidents TIC majeurs à leur autorité compétente sectorielle (ACPR, AMF, Banque de France). Les critères de qualification d’un incident majeur incluent le nombre de clients affectés, la durée de l’incident, l’étendue géographique, les pertes de données, l’impact économique, et la criticite des services touches.
La procédure de notification DORA se déroule en trois temps :
- Notification initiale : dans les meilleurs délais après la détection de l’incident, et au plus tard à la fin du jour ouvrable suivant la classification de l’incident comme majeur ;
- Notification intermédiaire : dans la semaine suivant la notification initiale, avec une mise à jour des informations disponibles ;
- Rapport final : dans le mois suivant l’envoi de la notification intermédiaire, avec une analyse complète de l’incident, ses causes, les mesures correctives et leur efficacité.
La notification RGPD (articles 33 et 34)
Le RGPD impose au responsable de traitement de notifier une violation de données personnelles à l’autorité de contrôle compétente (la CNIL en France) dans un délai de 72 heures après en avoir pris connaissance, lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Si le risque est élevé, les personnes concernées doivent également être informées (article 34).
Les différences structurelles
| Critere | DORA | RGPD |
|---|---|---|
| Autorité destinataire | Autorité sectorielle (ACPR, AMF) | CNIL |
| Déclencheur | Incident TIC majeur | Violation de données personnelles |
| Délai initial | Fin du jour ouvrable suivant | 72 heures |
| Personnes concernées | Non (notification autorité uniquement) | Oui, si risque élevé |
| Suivi | Notification intermédiaire + rapport final | Notification complémentaire si nécessaire |
Les situations de cumul
Les cas de double notification
Dans la pratique, de nombreux incidents informatiques declenchent simultanément les deux régimes. Les scénarios typiques incluent :
La cyberattaque avec exfiltration de données clients : un ransomware chiffre les systèmes d’une banque et exfiltré des données de comptes (noms, adressés, IBAN, soldes). Cet incident est un incident TIC majeur (systèmes indisponibles, données exfiltrees, clients affectés) et une violation de données personnelles (perte de confidentialité de données financières).
La panne d’un prestataire cloud : le prestataire d’hébergement cloud d’une société d’assurance subit une panne prolongée entraînant une indisponibilite des données clients. Cet incident est un incident TIC majeur (indisponibilite de services critiques) et une violation de données personnelles (perte de disponibilité de données personnelles).
L’erreur humaine avec fuite de données : un collaborateur d’une société de gestion envoie par erreur un fichier contenant les données personnelles et financières de 10 000 clients à un mauvais destinataire. Cet incident peut constituer un incident TIC au sens de DORA (perte de données) et constitue une violation de données personnelles (perte de confidentialité).
Les cas de notification unique
Certains incidents ne declenchent qu’un seul régime. Un incident TIC majeur n’affectant pas de données personnelles (panne de système sans fuite de données, par exemple) ne declenchera que la notification DORA. Une violation de données personnelles mineure (accès non autorise aux données d’un seul client, par exemple) ne declenchera que la notification RGPD si elle n’atteint pas les seuils de l’incident TIC majeur.
L’organisation interne pour la gestion des incidents
Le dispositif de détection et de classification
L’entité financière doit mettre en place un dispositif unifie de détection et de classification des incidents couvrant simultanément les critères DORA et RGPD. Ce dispositif doit intégrer la gestion des risques TIC et la protection des données personnelles.
Le processus de classification doit permettre, des la détection de l’incident, d’évaluer s’il s’agit d’un incident TIC au sens de DORA (oui/non), si c’est un incident TIC majeur au sens des seuils DORA (oui/non), s’il y a violation de données personnelles au sens du RGPD (oui/non), et si la violation engendré un risque ou un risque élevé pour les personnes (oui/non).
Cette évaluation conditionnera les obligations de notification applicables.
La coordination entre DPO et responsable risques TIC
La gestion d’un incident impliquant des données personnelles nécessite une coordination étroite entre le DPO (délégué à la protection des données), qui piloté la notification RGPD, et le responsable des risques TIC ou le RSSI, qui piloté la notification DORA. Ces deux fonctions doivent travailler en synergie, avec un processus d’escalade commun et une analyse partagée de l’incident.
L’élaboration de fiches réflexes communes, couvrant les deux régimes de notification, est une bonne pratique recommandée. Ces fiches doivent préciser les rôles, les contacts, les délais, les modèles de notification et les circuits de validation.
Les prestataires tiers et la chaîne de notification
Lorsque l’incident provient d’un prestataire de services TIC, la sous-traitance TIC doit prévoir des clauses contractuelles imposant au prestataire de notifier l’entité financière dans les meilleurs délais. Les contrats doivent préciser les délais de notification du prestataire à l’entité, le contenu des informations à fournir, les obligations d’assistance dans la gestion de l’incident, et les conditions d’accès aux journaux et aux evidences.
La notification en pratique
Le contenu de la notification DORA
La notification initiale DORA doit contenir la date et l’heure de l’incident, sa description, les systèmes affectés, le nombre de clients et de transactions impactes, les premières mesures prises, et l’évaluation de la sévérité.
Le contenu de la notification RGPD
La notification à la CNIL doit décrire la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif d’enregistrements de données concernés, le nom et les coordonnées du DPO, les conséquences probables de la violation, et les mesures prises ou envisagées pour y remédier.
L’information des personnes concernées
L’article 34 du RGPD impose d’informer les personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Pour les entités financières, les violations affectant des données bancaires, des identifiants d’accès, ou des données financières détaillées engendrent généralement un risque élevé justifiant l’information des personnes.
Cette information doit être rédigée en termes clairs et simples, décrire la nature de la violation, les conséquences possibles, et les mesures que les personnes peuvent prendre pour se protéger (changement de mots de passe, surveillance des comptes, alerte fraude).
L’articulation avec les tests de résilience
Les tests de résilience opérationnelle imposés par DORA doivent intégrer des scénarios d’incidents affectant des données personnelles. Les exercices de simulation doivent tester la capacité de l’entité a détecter l’incident, à le classifier selon les deux régimes, a notifier les autorités compétentes dans les délais, et a informer les personnes concernées. L’articulation DORA-RGPD doit également être prise en compte dans les tests de penetration fondés sur la menace (TLPT).
La documentation et la traçabilité
L’entité financière doit conserver une documentation complète de chaque incident, incluant le journal détaillé de l’incident, les notifications envoyees aux autorités (DORA et RGPD), les preuves de la notification aux personnes concernées le cas échéant, l’analyse des causes et les mesures correctives, et le retour d’expérience. Cette documentation doit être conservée conformément aux obligations du registre des incidents DORA et au registre des violations du RGPD. Elle est susceptible d’être demandée par les autorités de contrôle lors d’inspections.
FAQ
Faut-il notifier à la fois l’ACPR et la CNIL en cas d’incident affectant des données personnelles ?
Oui, si l’incident constitue à la fois un incident TIC majeur au sens de DORA et une violation de données personnelles au sens du RGPD. Les deux notifications sont indépendantes et répondent à des critères et des finalités différentes. La notification DORA vise à informer l’autorité sectorielle de l’impact sur la résilience opérationnelle ; la notification RGPD vise à informer la CNIL de l’atteinte aux données personnelles. Les délais sont différents (jour ouvrable pour DORA, 72 heures pour le RGPD), et les deux notifications doivent être effectuées en parallèle.
Un incident mineur affectant des données personnelles doit-il être notifié au titre de DORA ?
Pas nécessairement. DORA ne s’applique qu’aux incidents TIC majeurs, définis selon des critères quantitatifs et qualitatifs (nombre de clients, durée, impact économique). Un incident mineur – par exemple l’accès non autorise aux données d’un seul client – peut constituer une violation de données personnelles notifiable au titre du RGPD sans atteindre les seuils d’un incident TIC majeur au sens de DORA. En revanche, l’entité financière doit documenter tous les incidents TIC, y compris les non-majeurs, dans son registre des incidents.
Comment articuler les délais de notification DORA et RGPD ?
Les délais sont différents mais compatibles. La notification initiale DORA doit être effectuée avant la fin du jour ouvrable suivant la classification de l’incident comme majeur. La notification RGPD doit être effectuée dans les 72 heures suivant la prise de connaissance de la violation. En pratique, il est recommande de préparer les deux notifications simultanément des la détection de l’incident, et de les envoyer dans les délais respectifs. Si toutes les informations ne sont pas disponibles dans le délai, les deux réglementations autorisent une notification initiale partielle, complétée ultérieurement.