La Commission Nationale de l’Informatique et des Libertés (la CNIL) constate régulièrement des augmentations de notifications de violations de données personnelles. En 2022, plus d’un tiers des sanctions infligées par la CNIL étaient liées à des manquements en matière de sécurité des données personnelles.
La CNIL a établi une procédure spéciale pour signaler toute fuite de données et informer les individus concernés.
1. Qu’est-ce qu’une fuite de données personnelles ?
En fait une fuite de données est une perte de contrôle des données personnelles. Le RGPD nous donne une définition de la notion de violation de données personnelles qui est “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données” (art. 4).
Une fuite de données se produit lorsqu’une information permettant d’identifier une personne est accidentellement ou illégalement divulguée, perdue, altérée ou consultée par une personne non autorisée. Les fuites de données peuvent survenir par des cyberattaques, des erreurs humaines, des vulnérabilités techniques, ou encore des actes malveillants. Les conséquences d’une telle fuite peuvent être graves, entraînant des risques d’usurpation d’identité, des pertes financières, et des atteintes à la vie privée des personnes concernées.
Quelques exemples de fuites de données qui ont été sanctionnées :
- Canal+ a été sanctionné à 600.000€ pour ne pas avoir notifié une violation de données personnelles à la CNIL
- Carrefour France a été sanctionné à 2.2M€ pour ne pas avoir notifié une fuite de données
- Free a été sanctionné à 300.000€ pour ne pas avoir notifié également
Il est donc important de suivre la procédure obligatoire imposée par le RGPD en cas de fuite de données personnelles.
2. La procédure obligatoire à mettre en oeuvre en cas de fuite de données (RGPD)
Le RGPD règlemente précisément les fuites de données personnelles - ou de manière plus large les violations de données - afin de protéger les personnes qui en sont victimes. Il en résulte qu’il existe une procédure spécifique qu’un responsable de traitement doit suivre dans un tel cas :
- répertorier la fuite de données sur le registre de violations
- notifier la CNIL selon une procédure spécifique
- notifier la personne concernée
2.1 Répertorier la fuite de données dans le registre de violations
Le responsable du traitement doit documenter toute violation de données à caractère personnel sur un registre interne. Celui-ci doit indiquer les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du RGPD.
L’objectif de cette obligation est d’imposer au responsable de traitement d’entrer dans une logique d’amélioration continue et l’inviter à améliorer ses processus informatiques, afin d’augmenter le niveau de sécurité informatique de l’organisation.
2.2 Notifier la CNIL
L’Article 33 du RGPD exige que la CNIL soit informée de toute violation de données personnelles dans les 72 heures suivant sa découverte, sauf si cette violation est peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
La notification à la CNIL doit inclure un certain nombre d’informations (art. 33) :
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés; b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; c) décrire les conséquences probables de la violation de données à caractère personnel; d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Le RGPD prévoit que s’il n’est pas possible de fournir toutes les informations en même temps, les informations pourront être communiquées de manière échelonnée. Cela permet au responsable de traitement d’informer la CNIL au fur et à mesure qu’il a connaissance de la situation.
2.3 Notifier la personne concernée
Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, les personnes concernées doivent être informées sans délai. Cette communication doit être claire et en des termes simples, expliquant la nature de la violation, ses conséquences potentielles, et les mesures prises ou proposées pour y remédier. Il est également important de fournir des conseils pratiques sur la manière dont les personnes concernées peuvent se protéger contre les éventuelles conséquences négatives de la violation.
3. Attention aux données sensibles !
Certaines données dites “sensibles” au sein du RGPD peuvent faire l’objet de fuites de données, il est nécessaire dans un tel cas de se faire accompagner par un expert RGPD, car ce type de fuite va générer des risques importants de sanction pour l’organisation en cause. Il s’agit de données qui font apparaître directement ou indirectement :
- l’origine raciale ou ethnique
- les opinions politiques
- les convictions religieuses ou philosophiques
- l’appartenance syndicale
- le traitement des données génétiques
- des données biométriques aux fins d’identifier une personne physique de manière unique
- des données concernant la santé
- des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique
Ces données sont désignées spécifiquement dans l’article 9 du RGPD comme étant particulièrement sensibles, donc en cas de notification à la CNIL, il est probable que la Commission déclenche un contrôle pour déterminer l’existence d’une faute de la part du responsable de traitement.