La fuite de donnees personnelles constitue l’un des incidents de securite les plus redoutes par les organisations. Au-dela de l’impact operationnel et reputationnel, elle declenche des obligations juridiques strictes, encadrees par les articles 33 et 34 du RGPD, dont le non-respect expose a des sanctions financieres considerables. Cet article presente la procedure complete de gestion d’une violation de donnees, de la detection a la cloture de l’incident.

Qu’est-ce qu’une violation de donnees personnelles ?

Le RGPD definit la violation de donnees personnelles (article 4, point 12) comme une violation de la securite entrainant, de maniere accidentelle ou illicite, la destruction, la perte, l’alteration, la divulgation non autorisee de donnees a caractere personnel, ou l’acces non autorise a de telles donnees.

Cette definition est volontairement large. Elle couvre donc :

• Les attaques par rancongiciel (ransomware) rendant les donnees indisponibles
• Les acces non autorises a des bases de donnees (intrusion externe ou interne)
• L’envoi accidentel de donnees personnelles au mauvais destinataire
• La perte de supports physiques (cle USB, ordinateur portable, dossiers papier)
• L’exfiltration de donnees par un employe malveillant
• Les erreurs de configuration exposant des donnees sur internet (serveur mal configure, API ouverte)

Il est essentiel de comprendre que la notion de violation ne se limite pas au piratage. Une simple erreur humaine peut constituer une violation au sens du RGPD, des lors qu’elle affecte la confidentialite, l’integrite ou la disponibilite de donnees personnelles.

L’obligation de notification a la CNIL : article 33 du RGPD

Le principe : notification dans les 72 heures

L’article 33 du RGPD impose au responsable de traitement de notifier la violation a l’autorite de controle competente – en France, la CNIL – dans les meilleurs delais et, si possible, 72 heures au plus tard apres en avoir pris connaissance.

Ce delai de 72 heures court a compter du moment ou le responsable de traitement acquiert un degre de certitude raisonnable qu’un incident de securite s’est produit et a compromis des donnees personnelles. Le simple soupcon ne declenche pas le delai, mais l’organisation ne peut pas non plus retarder artificiellement la qualification de l’incident pour gagner du temps.

L’exception : absence de risque

La notification n’est pas obligatoire lorsque la violation n’est pas susceptible d’engendrer un risque pour les droits et libertes des personnes physiques. Par exemple, la perte d’une cle USB dont les donnees sont integralement chiffrees avec un algorithme robuste et une cle non compromise peut ne pas necessiter de notification.

En pratique, cette exception doit etre interpretee restrictivement. Dans le doute, la notification reste recommandee.

Le contenu de la notification

L’article 33, paragraphe 3, precise le contenu minimum de la notification :

1. La nature de la violation, y compris, si possible, les categories et le nombre approximatif de personnes concernees, ainsi que les categories et le nombre approximatif d’enregistrements de donnees a caractere personnel concernes.

2. Le nom et les coordonnees du delegue a la protection des donnees (DPO) ou d’un autre point de contact.

3. Les consequences probables de la violation : il s’agit d’evaluer les risques concrets pour les personnes (usurpation d’identite, pertes financieres, atteinte a la reputation, discrimination, etc.).

4. Les mesures prises ou envisagees pour remedier a la violation, y compris les mesures pour en attenuer les eventuelles consequences negatives.

Le teleservice de notification de la CNIL

La CNIL met a disposition un teleservice dedie a la notification des violations de donnees, accessible sur son site officiel. Ce formulaire en ligne guide le responsable de traitement a travers les differentes rubriques obligatoires et permet de structurer la notification de maniere conforme.

Le teleservice permet egalement de proceder a une notification en deux temps : une notification initiale dans le delai de 72 heures, meme si toutes les informations ne sont pas encore disponibles, suivie d’une notification complementaire une fois l’investigation terminee. L’article 33, paragraphe 4, autorise expressement cette approche progressive.

L’obligation d’information des personnes : article 34 du RGPD

Le seuil de declenchement : risque eleve

L’article 34 impose une obligation supplementaire lorsque la violation est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes physiques. Dans ce cas, le responsable de traitement doit communiquer la violation aux personnes concernees dans les meilleurs delais.

Le seuil est donc plus eleve que pour la notification a la CNIL : toute violation a risque doit etre notifiee a la CNIL, mais seules celles presentant un risque eleve doivent etre communiquees aux personnes.

Le contenu de la communication

La communication aux personnes doit decrire, en des termes clairs et simples :

• La nature de la violation
• Le nom et les coordonnees du DPO ou du point de contact
• Les consequences probables de la violation
• Les mesures prises ou envisagees, y compris les mesures que les personnes peuvent prendre pour se proteger (changement de mot de passe, surveillance de comptes bancaires, etc.)

Les exceptions a l’information des personnes

L’article 34, paragraphe 3, prevoit trois cas dans lesquels l’information individuelle n’est pas requise :

1. Le responsable de traitement a mis en oeuvre des mesures de protection techniques et organisationnelles appropriees (notamment le chiffrement) rendant les donnees incomprehensibles pour toute personne non autorisee.

2. Le responsable de traitement a pris des mesures ulterieures garantissant que le risque eleve n’est plus susceptible de se materialiser.

3. L’information individuelle exigerait des efforts disproportionnes – dans ce cas, une communication publique ou une mesure similaire doit etre effectuee.

Le registre des violations : obligation de documentation

L’article 33, paragraphe 5, impose au responsable de traitement de documenter toute violation de donnees personnelles, y compris les faits concernant la violation, ses effets et les mesures prises pour y remedier. Ce registre des violations doit etre tenu independamment de l’obligation de notification a la CNIL.

Concretement, le registre doit etre maintenu pour toutes les violations, y compris celles qui n’ont pas ete notifiees a la CNIL en raison de l’absence de risque. Il constitue un element de preuve essentiel de la conformite de l’organisme et peut etre demande par la CNIL lors d’un controle.

Le registre doit contenir au minimum :

• La date et l’heure de la detection de la violation
• La nature de la violation et les donnees concernees
• Le nombre de personnes et d’enregistrements affectes
• Les consequences constatees ou probables
• Les mesures correctives prises
• La decision de notifier ou non la CNIL, avec la justification
• Le cas echeant, la date de notification a la CNIL et aux personnes

Procedure operationnelle de gestion de crise

Phase 1 : Detection et qualification

La premiere etape consiste a detecter l’incident et a le qualifier comme violation de donnees. L’organisation doit disposer de mecanismes de detection (systemes de detection d’intrusion, surveillance des journaux, alertes de securite) et d’un processus clair d’escalade.

Des que l’incident est detecte, une equipe de gestion de crise doit etre activee, incluant au minimum le RSSI, le DPO, la direction juridique et la direction generale.

Phase 2 : Containment et investigation

L’objectif immediat est de limiter l’impact de la violation. Cela peut impliquer l’isolation de systemes compromis, la revocation d’acces, le changement de mots de passe, ou le blocage de flux de donnees.

Parallelement, une investigation technique doit etre lancee pour determiner l’etendue de la violation : quelles donnees, combien de personnes, quelle est la cause, l’attaquant est-il encore present dans le systeme ?

Phase 3 : Evaluation du risque et decision de notification

Sur la base des elements recueillis, le DPO et l’equipe juridique doivent evaluer le niveau de risque pour les personnes concernees. Cette evaluation conditionne les obligations de notification :

• Risque negligeable : documentation dans le registre, pas de notification
• Risque pour les droits et libertes : notification a la CNIL dans les 72 heures
• Risque eleve : notification a la CNIL ET information des personnes concernees

Phase 4 : Notification et communication

Si la notification est requise, elle doit etre effectuee via le teleservice de la CNIL dans le delai de 72 heures. En cas de depassement du delai, la notification doit etre accompagnee des motifs du retard.

L’information des personnes doit etre realisee par un moyen de communication direct et adapte (courriel, courrier postal, appel telephonique selon la gravite).

Phase 5 : Remediation et retour d’experience

Apres la gestion de l’urgence, l’organisation doit mettre en oeuvre les mesures correctives necessaires pour eviter la repetition de l’incident. Un retour d’experience formalise doit etre conduit pour identifier les failles dans les processus de securite et les ameliorer.

Les sanctions en cas de manquement

Le non-respect des obligations de notification constitue une infraction autonome au RGPD, distincte du manquement a la securite qui a cause la violation. En d’autres termes, une organisation peut etre sanctionnee deux fois : pour le defaut de securite ayant permis la violation (manquement a l’article 32 du RGPD) et pour le defaut de notification.

Les sanctions prevues par le RGPD pour le non-respect des articles 33 et 34 peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus eleve etant retenu.

La CNIL a deja sanctionne plusieurs organisations pour des manquements lies a la notification. Les cas les plus frequents concernent :

• Le retard excessif dans la notification (bien au-dela des 72 heures)
• L’absence totale de notification malgre une violation avere
• L’insuffisance des informations fournies dans la notification
• L’absence d’information des personnes alors que le risque eleve etait caracterise

L’articulation avec NIS2

La directive NIS2 introduit des obligations supplementaires en matiere de notification d’incidents de securite pour les entites essentielles et importantes. L’article 23 de NIS2 impose un regime de notification en plusieurs etapes :

• Une alerte precoce dans les 24 heures suivant la prise de connaissance de l’incident significatif
• Une notification d’incident dans les 72 heures, contenant une evaluation initiale de l’incident
• Un rapport final dans un delai d’un mois apres la notification

Pour les organisations soumises a la fois au RGPD et a NIS2, ces obligations se cumulent. La notification a la CNIL au titre du RGPD ne dispense pas de la notification a l’ANSSI au titre de NIS2, et reciproquement. Toutefois, les autorites travaillent a une articulation pratique de ces obligations pour eviter les duplications inutiles.

Recommandations pratiques

Pour etre en mesure de respecter ces obligations dans les delais impartis, les organisations doivent anticiper :

Avant l’incident :

• Rediger et tester une procedure de gestion des violations de donnees
• Former les equipes a la detection et au signalement des incidents
• Preparer des modeles de notification (CNIL, personnes concernees)
• Identifier clairement les roles et responsabilites de chaque acteur
• Mettre en place le registre des violations

Pendant l’incident :

• Activer immediatement la cellule de crise
• Documenter en temps reel chaque action et chaque decouverte
• Ne pas retarder la notification dans l’attente d’informations completes
• Coordonner la communication interne et externe

Apres l’incident :

• Completer le registre des violations
• Mettre en oeuvre les mesures correctives identifiees
• Conduire un retour d’experience formalise
• Mettre a jour la procedure en consequence

Conclusion

La gestion d’une fuite de donnees personnelles est un exercice qui mobilise des competences techniques, juridiques et organisationnelles. Le cadre pose par les articles 33 et 34 du RGPD est exigeant, mais il a le merite de la clarte : qualifier l’incident, evaluer le risque, notifier dans les 72 heures, informer les personnes si le risque est eleve, documenter systematiquement. L’entree en application de NIS2 ajoute une couche supplementaire d’obligations pour les entites concernees. Dans tous les cas, la preparation en amont reste la cle d’une gestion efficace : une organisation qui decouvre ses obligations de notification le jour de l’incident est une organisation qui sera en difficulte.