La notification des violations de données personnelles

Violation de données, à quoi cela correspond-il ? Qui doit notifier ? À qui ? Quand et comment ? … Autant de questions qui correspondent de fait à un vrai risque (sanction de la CNIL notamment) et surtout, d’un point de vue opérationnel, à la mise en œuvre anticipée de mesures de procédures idoines. Sous la loi de 1978 modifiée relative à l’Informatique, aux fichiers et aux Libertés  : l’obligation de notification des violations de données personnelles est faite exclusivement aux fournisseurs de services de communications électroniques (article 34bis). Par définition, la violation des données doit entraîner “accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement”. De fait, il s’agit d’une violation de sécurité. Le principe est celui d’une première notification à la CNIL puis aux personnes concernées en l’absence de mesures de protection appropriées mises en œuvre par le fournisseur “afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès”. Le Règlement européen [RGPD], adopté le 27 avril dernier et qui entrera en application à compter du 25 mai 2018, étend le principe de notification des violations à tout responsable de traitement, quel que soit le secteur d’activité. Avec une définition similaire posée par l’article  4, la notion de violation de données couvre un périmètre large (action intentionnelle ou non, perte/destruction…) et doit engendrer un “risque pour les droits et les libertés des personnes physiques”. À l’évidence, la question de la notification doit être appréciée en amont c’est-à-dire du point de vue de la sécurité du site qui devra être fréquemment testée. Pour rappel, la CNIL et la DGCCRF peuvent procéder à des contrôles en ligne et collaborer à cette fin. Le RGPD pose certaines conditions formelles. Du point de vue du délai, la notification d’une violation de données personnelles devra parvenir à l’autorité de contrôle (CNIL) dans la limite de 72H après que le responsable en ait pris connaissance. Au-delà des 72H, une justification du retard est nécessaire (article 33 du RGPD). La communication à la personne concernée doit se faire “dans les meilleurs délais” (article 34 du RGPD), dès lors que la violation est susceptible d’engendrer un risque élevé au titre de sa vie privée, sauf si : • le responsable de traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et les a appliquées aux données concernées par la violation (dont chiffrement) ; • le responsable de traitement a pris des mesures ultérieures afin d’empêcher que la violation ne se reproduise ; • la communication à la personne concernée exige des efforts disproportionnés (communication publique possible). Du point de vue de la documentation, la notification doit contenir plusieurs mentions obligatoires, parmi lesquelles : la nature de la violation, le nombre de personnes concernées, les conséquences de la violation et les mesures déjà prises ou à prendre. Ces mentions représentent certainement le point central de la notification puisqu’elles viennent attester des diligences du responsable de traitement. Le sous-traitant est également tenu de notifier au responsable de traitement toute violation de données dont il aurait connaissance. Pour autant, aucune information quant aux mentions obligatoires de la notification, au délai et aux exceptions possibles n’est citée dans le RGPD. Un soin particulier doit être apporté à cette obligation. L’absence de notification pourra entraîner de lourdes sanctions (civiles et pénales). Mais attention, le respect de cette obligation de notification n’exonèrera en rien le responsable de traitement de sa responsabilité quant aux dommages causés aux personnes suite à la violation de leurs données.