Mis à jour le 21 Déc 2022
La violation et la fuite de données à caractère personnel peuvent survenir même pour les systèmes les plus sécurisés. Quelques conseils pour s’en prémunir, et réagir en cas de fuite de données.
1. Comprendre les termes de violation et de fuite de données personnelles
Une violation de données est définie par le RGPD comme étant une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »
Il existe donc des cas de violation de confidentialité, d’intégrité et de disponibilité.
- Une violation de confidentialité, c’est une fuite de données ou un accès non autorisé ou accidentel.
- La violation de l’intégrité, c’est la modification non permise ou accidentelle des données à caractère personnel.
- La violation de disponibilité, c’est la perte d’accès, la corruption ou la destruction accidentelle ou non autorisée aux données à caractère personnel.
2. Fuite des données : réagir rapidement
En cas de survenance d’une violation de données, le sous-traitant doit en informer le responsable du traitement le plus rapidement possible. Le responsable du traitement doit analyser les risques que fait courir la violation pour les droits et libertés des personnes concernées.
Le responsable de traitement doit notifier les autorités en « cas de risque élevé ». C’est-à-dire, qu’il est grandement possible que les conséquences d’une telle violation aient des effets graves pour les personnes.
Question à se poser en tant que responsable de traitement :
- Dans quel contexte a eu lieu la violation ou la fuite des données ?
- Quel est la nature, la quantité et la sensibilité des données ?
- Combien de personnes sont-elles concernées ? Sont-elles vulnérables ?
- Pourrait-on retrouver et identifier les personnes concernées grâce à ces éléments ou d’autres disponibles ?
- Quelles conséquences, préjudices et scénarios pourraient se produire en raison de la violation des données?
Il faut également rapidement mettre en place toutes les mesures provisoires techniques et juridiques afin de mettre un terme à la violation ou à la fuite de données.
3. Comment faut-il notifier la fuite de données à l’autorité de contrôle ?
Le responsable du traitement doit agir au plus vite en cas de violation de données. Il doit apporter la preuve de la date à laquelle il a pris connaissance de la fuite de données, et qu’il a agi efficacement. Sa faculté à pondérer les risques et sa réactivité est cruciale pour l’image de la société autant que pour sa responsabilité.
La notification à l’autorité de contrôle doit intervenir si possible 72 heures maximum après la fuite de données. Passé ce délai, il faudra apporter les raisons du dépassement lors de la notification.
La notification tardive peut avoir une importance décisive pour évaluer si vous devez être sanctionné. Toute violation de donnée n’entraînant évidemment pas automatiquement une sanction.
4. Que doit envoyer le responsable du traitement à l’autorité de contrôle en cas de violation des données ?
Le responsable de traitement doit envoyer au minimum :
- Le nom et coordonnée du délégué à la protection des données (DPO) ou du contact avec lequel interagir.
- Le détail des mesures prises, celles envisagées pour le futur et celles visant à minimiser les conséquences.
- La description précise des conséquences que pourrait avoir la fuite de données.
5. Comment notifier les personnes concernées en cas de violation ou de fuite des données ?
La première chose à faire, c’est essayer de résoudre la crise avec l’autorité de contrôle, en prenant toutes les mesures nécessaires pour que les données violées ne puissent pas servir ultérieurement. Il faut faire disparaître les risques. Si l’objectif est atteint, il n’est pas nécessaire de notifier la violation aux personnes concernées.
Sinon, les premiers concernés restent les personnes dont les données ont été atteintes. Si leurs droits et libertés sont menacés, il faut les en informer dans les meilleurs délais. Il est toujours utile de demander son avis à l’autorité de contrôle, habituée à ces situations.
La notification de la violation devrait reprendre les mêmes termes que ceux envoyés à l’autorité de contrôle, davantage simplifiés. Il est utile de prévenir les personnes des bons réflexes à adopter.
La notification doit être faite auprès de la personne concernée, sauf si ce n’est pas possible. Auquel cas, un communiqué s’adressant au public doit être réalisé.