DORA et RGPD : gerer les incidents donnees personnelles

L’entree en application du reglement DORA (Digital Operational Resilience Act) le 17 janvier 2025 a cree un regime de notification des incidents TIC qui se superpose aux obligations existantes du RGPD en matiere de violation de donnees personnelles. Pour les entites financieres, la gestion d’un incident affectant des donnees personnelles impose desormais de naviguer entre deux regimes de notification distincts, avec des autorites competentes, des delais et des criteres de declenchement differents.

Cette double obligation constitue un defi operationnel majeur. Un incident informatique – cyberattaque, fuite de donnees, panne de systeme – peut simultanement constituer un incident TIC majeur au sens de DORA et une violation de donnees personnelles au sens de l’article 33 du RGPD.

Le double regime de notification

La notification DORA (articles 17 a 23)

Le reglement DORA impose aux entites financieres de notifier les incidents TIC majeurs a leur autorite competente sectorielle (ACPR, AMF, Banque de France). Les criteres de qualification d’un incident majeur incluent le nombre de clients affectes, la duree de l’incident, l’etendue geographique, les pertes de donnees, l’impact economique, et la criticite des services touches.

La procedure de notification DORA se deroule en trois temps :

• Notification initiale : dans les meilleurs delais apres la detection de l’incident, et au plus tard a la fin du jour ouvrable suivant la classification de l’incident comme majeur ;
• Notification intermediaire : dans la semaine suivant la notification initiale, avec une mise a jour des informations disponibles ;
• Rapport final : dans le mois suivant l’envoi de la notification intermediaire, avec une analyse complete de l’incident, ses causes, les mesures correctives et leur efficacite.

La notification RGPD (articles 33 et 34)

Le RGPD impose au responsable de traitement de notifier une violation de donnees personnelles a l’autorite de controle competente (la CNIL en France) dans un delai de 72 heures apres en avoir pris connaissance, lorsque la violation est susceptible d’engendrer un risque pour les droits et libertes des personnes physiques. Si le risque est eleve, les personnes concernees doivent egalement etre informees (article 34).

Les differences structurelles

Critere	DORA	RGPD
Autorite destinataire	Autorite sectorielle (ACPR, AMF)	CNIL
Declencheur	Incident TIC majeur	Violation de donnees personnelles
Delai initial	Fin du jour ouvrable suivant	72 heures
Personnes concernees	Non (notification autorite uniquement)	Oui, si risque eleve
Suivi	Notification intermediaire + rapport final	Notification complementaire si necessaire

Les situations de cumul

Les cas de double notification

Dans la pratique, de nombreux incidents informatiques declenchent simultanement les deux regimes. Les scenarios typiques incluent :

La cyberattaque avec exfiltration de donnees clients : un ransomware chiffre les systemes d’une banque et exfiltre des donnees de comptes (noms, adresses, IBAN, soldes). Cet incident est un incident TIC majeur (systemes indisponibles, donnees exfiltrees, clients affectes) et une violation de donnees personnelles (perte de confidentialite de donnees financieres).

La panne d’un prestataire cloud : le prestataire d’hebergement cloud d’une societe d’assurance subit une panne prolongee entrainant une indisponibilite des donnees clients. Cet incident est un incident TIC majeur (indisponibilite de services critiques) et une violation de donnees personnelles (perte de disponibilite de donnees personnelles).

L’erreur humaine avec fuite de donnees : un collaborateur d’une societe de gestion envoie par erreur un fichier contenant les donnees personnelles et financieres de 10 000 clients a un mauvais destinataire. Cet incident peut constituer un incident TIC au sens de DORA (perte de donnees) et constitue une violation de donnees personnelles (perte de confidentialite).

Les cas de notification unique

Certains incidents ne declenchent qu’un seul regime. Un incident TIC majeur n’affectant pas de donnees personnelles (panne de systeme sans fuite de donnees, par exemple) ne declenchera que la notification DORA. Une violation de donnees personnelles mineure (acces non autorise aux donnees d’un seul client, par exemple) ne declenchera que la notification RGPD si elle n’atteint pas les seuils de l’incident TIC majeur.

L’organisation interne pour la gestion des incidents

Le dispositif de detection et de classification

L’entite financiere doit mettre en place un dispositif unifie de detection et de classification des incidents couvrant simultanement les criteres DORA et RGPD. Ce dispositif doit integrer la gestion des risques TIC et la protection des donnees personnelles.

Le processus de classification doit permettre, des la detection de l’incident, d’evaluer s’il s’agit d’un incident TIC au sens de DORA (oui/non), si c’est un incident TIC majeur au sens des seuils DORA (oui/non), s’il y a violation de donnees personnelles au sens du RGPD (oui/non), et si la violation engendre un risque ou un risque eleve pour les personnes (oui/non).

Cette evaluation conditionnera les obligations de notification applicables.

La coordination entre DPO et responsable risques TIC

La gestion d’un incident impliquant des donnees personnelles necessite une coordination etroite entre le DPO (delegue a la protection des donnees), qui pilote la notification RGPD, et le responsable des risques TIC ou le RSSI, qui pilote la notification DORA. Ces deux fonctions doivent travailler en synergie, avec un processus d’escalade commun et une analyse partagee de l’incident.

L’elaboration de fiches reflexes communes, couvrant les deux regimes de notification, est une bonne pratique recommandee. Ces fiches doivent preciser les roles, les contacts, les delais, les modeles de notification et les circuits de validation.

Les prestataires tiers et la chaine de notification

Lorsque l’incident provient d’un prestataire de services TIC, la sous-traitance TIC doit prevoir des clauses contractuelles imposant au prestataire de notifier l’entite financiere dans les meilleurs delais. Les contrats doivent preciser les delais de notification du prestataire a l’entite, le contenu des informations a fournir, les obligations d’assistance dans la gestion de l’incident, et les conditions d’acces aux journaux et aux evidences.

La notification en pratique

Le contenu de la notification DORA

La notification initiale DORA doit contenir la date et l’heure de l’incident, sa description, les systemes affectes, le nombre de clients et de transactions impactes, les premieres mesures prises, et l’evaluation de la severite.

Le contenu de la notification RGPD

La notification a la CNIL doit decrire la nature de la violation, les categories et le nombre approximatif de personnes concernees, les categories et le nombre approximatif d’enregistrements de donnees concernes, le nom et les coordonnees du DPO, les consequences probables de la violation, et les mesures prises ou envisagees pour y remedier.

L’information des personnes concernees

L’article 34 du RGPD impose d’informer les personnes concernees lorsque la violation est susceptible d’engendrer un risque eleve pour leurs droits et libertes. Pour les entites financieres, les violations affectant des donnees bancaires, des identifiants d’acces, ou des donnees financieres detaillees engendrent generalement un risque eleve justifiant l’information des personnes.

Cette information doit etre redigee en termes clairs et simples, decrire la nature de la violation, les consequences possibles, et les mesures que les personnes peuvent prendre pour se proteger (changement de mots de passe, surveillance des comptes, alerte fraude).

L’articulation avec les tests de resilience

Les tests de resilience operationnelle imposes par DORA doivent integrer des scenarios d’incidents affectant des donnees personnelles. Les exercices de simulation doivent tester la capacite de l’entite a detecter l’incident, a le classifier selon les deux regimes, a notifier les autorites competentes dans les delais, et a informer les personnes concernees. L’articulation DORA-RGPD doit egalement etre prise en compte dans les tests de penetration fondes sur la menace (TLPT).

La documentation et la tracabilite

L’entite financiere doit conserver une documentation complete de chaque incident, incluant le journal detaille de l’incident, les notifications envoyees aux autorites (DORA et RGPD), les preuves de la notification aux personnes concernees le cas echeant, l’analyse des causes et les mesures correctives, et le retour d’experience. Cette documentation doit etre conservee conformement aux obligations du registre des incidents DORA et au registre des violations du RGPD. Elle est susceptible d’etre demandee par les autorites de controle lors d’inspections.

FAQ

Faut-il notifier a la fois l’ACPR et la CNIL en cas d’incident affectant des donnees personnelles ?

Oui, si l’incident constitue a la fois un incident TIC majeur au sens de DORA et une violation de donnees personnelles au sens du RGPD. Les deux notifications sont independantes et repondent a des criteres et des finalites differentes. La notification DORA vise a informer l’autorite sectorielle de l’impact sur la resilience operationnelle ; la notification RGPD vise a informer la CNIL de l’atteinte aux donnees personnelles. Les delais sont differents (jour ouvrable pour DORA, 72 heures pour le RGPD), et les deux notifications doivent etre effectuees en parallele.

Un incident mineur affectant des donnees personnelles doit-il etre notifie au titre de DORA ?

Pas necessairement. DORA ne s’applique qu’aux incidents TIC majeurs, definis selon des criteres quantitatifs et qualitatifs (nombre de clients, duree, impact economique). Un incident mineur – par exemple l’acces non autorise aux donnees d’un seul client – peut constituer une violation de donnees personnelles notifiable au titre du RGPD sans atteindre les seuils d’un incident TIC majeur au sens de DORA. En revanche, l’entite financiere doit documenter tous les incidents TIC, y compris les non-majeurs, dans son registre des incidents.

Comment articuler les delais de notification DORA et RGPD ?

Les delais sont differents mais compatibles. La notification initiale DORA doit etre effectuee avant la fin du jour ouvrable suivant la classification de l’incident comme majeur. La notification RGPD doit etre effectuee dans les 72 heures suivant la prise de connaissance de la violation. En pratique, il est recommande de preparer les deux notifications simultanement des la detection de l’incident, et de les envoyer dans les delais respectifs. Si toutes les informations ne sont pas disponibles dans le delai, les deux reglementations autorisent une notification initiale partielle, completee ulterieurement.