L’idée est d’imposer au responsable de traitement une certaine transparence par rapport à la gestion de la sécurité des données qui lui sont confiées par ses clients, ses utilisateurs, ses employés. Ainsi, si ces données sont objet d’un piratage informatique, ou si elles sont perdues ou communiquées par erreur, le responsable de traitement devra s’assurer de respecter une série d’obligations afin de s’assurer de la bonne gestion de ces incidents.
Il y a trois obligations principales créées par ce nouveau régime juridique : créer un registre des violations de données personnelles (1), notifier ces violations à la CNIL sous 72h (2) et notifier ces violations à la personne concernée (3) ; on discuter enfin de la notion de violation de données personnelles enfin (4).
1. Créer un registre des violations de données personnelles
La première obligation imposée par le RGPD en cette matière est de mettre en place un registre des violations de données personnelles dans l’organisation. Cette obligation est imposée par l’article 33.5 :
Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.
Pour mettre en oeuvre cette obligation, deux éléments sont nécessaires. Le premier est un logiciel de gestion de registre des violations, ce qui permet de recenser l’ensemble des violations de données personnelles conformément aux prescriptions de l’article 33 :
Une fois le logiciel installé avec ce registre des violations, il suffit ensuite de le tenir à jour et référencer chaque violation de données ayant eu lieu dans l’organisation en indiquant le détail de l’incident :
Le second élément indispensable est ensuite de sensibiliser ses personnels internes afin que ceux-ci soient en mesure de déterminer qu’une violation de données personnelles a eu lieu et la reporter au DPO ou au chargé de conformité RGPD afin que celle-ci soit portée au registre et traitée dans les temps impartis.
Le DPO/ chargé de conformité peut créer ses propres formations, ou il est également possible d’utiliser des formations prêtes à l’emploi (cf. legiscope), ce qui permet d’économiser du temps et de former l’ensemble des personnels de son organisation en quelques clics, les deux solutions fonctionnent. L’essentiel est que les personnels internes sachent remonter une violation de données personnelles lorsqu’ils en rencontrent une afin que celle-ci puisse être référencée sur le registre interne de l’organisation.
2. Notifier sous 72h les violations à la CNIL
La seconde obligation essentielle est de notifier les violations à la CNIL sous 72h, ou dans les meilleurs délais possibles.
L’idée de fond du RGPD est que si l’on n’intervient pas rapidement lors d’une violation de données personnelles, celle-ci risque de causer des dommages importants aux personnes physiques. D’où la nécessité d’un suivi et d’une intervention rapide.
En conséquence, dès que le responsable du traitement apprend qu’une violation de données à caractère personnel s’est produite, celui-ci a l’obligation de la notifier à l’autorité de contrôle (la CNIL) dans les meilleurs délais - 72 heures au plus tard après en avoir pris connaissance, à moins qu’il ne puisse démontrer qu’il est peu probable que cette violation engendre un risque pour les droits et libertés des personnes physiques.
1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
La notification doit être faite selon un certain formalisme spécifique, et peut être adressée à la CNIL en ligne via un téléservice :
3. La notification visée au paragraphe 1 doit, à tout le moins: a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés; b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; c) décrire les conséquences probables de la violation de données à caractère personnel; d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. 4. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
3. Notifier l’incident à la personne concernée, dans certains cas
Dernier point, le responsable du traitement doit notifier à la personne concernée la violation de données personnelles lorsque cette violation est susceptible d’engendrer un risque élevé pour ses droits et libertés afin que celle-ci puisse prendre les précautions qui s’imposent.
Encore une fois ici, la forme de la notification est règlementée.
4. Qu’est-ce qu’une violation de données personnelles
La notion de violation de données personnelles est un peu malaisée à appréhender en français en raison de sa traduction ; il aurait été plus simple de parler de “fuite de données personnelles” - en fait en anglais le concept est plus clair, puisque l’on parle de “data breach”.
Toujours est-il que celle-ci a été définie à l’article 4 du RGPD et couvre des cas comme la perte de données personnelles sur une clé USB, l’accès non autorisé à ce type de données ; la définition de cette notion est la suivante :
«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données"