Que faire en cas de violation de données ? Guide étape par étape

Entre 2021 et 2022, la Commission Nationale de l’Informatique et des Libertés (la « CNIL ») a reçu plus de 9.000 notifications de violations de données, sans compter toutes celles qui n’ont pas été notifiées.

Vous pensez avoir subi une violation de données et souhaitez en connaître les conséquences et implications. Vous êtes au bon endroit.

L’importance d’une réaction rapide en cas de violation de données est primordiale car les actions à mener sont nombreuses et attendues dans des délais restreints.

Sommaire

  1. Qu’est-ce qu’une violation de données ?
  2. Etapes à suivre pour gérer une violation de données
    • Etape 1 : vérifier l’existence de la violation, informer l’équipe dirigeante et le DPO
    • Etape 2 : notifier la violation de données à la CNIL en cas de risque pour les droits et libertés des personnes concernées
    • Etape 3 : notifier la violation de données auprès des personnes concernées en cas de risque « élevé » pour leurs droits et libertés
    • Etape 4 : documenter la violation de données

1. Qu’est-ce qu’une violation de données ?

Avant de présenter les étapes à suivre en cas de violation de données, il convient de rappeler que la violation de données est définie dans le Règlement Général sur la Protection des Données du 27 avril 2016 et entré en vigueur le 25 mai 2018 (le « RGPD ») comme :

« une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Les violations de données peuvent être caractérisées par une divulgation non autorisée de données personnelles ou l’accès non autorisé à des fichiers comportant des données personnelles ou encore les rançongiciels.

Il peut également s’agir d’erreurs d’envoi par email ou par voie postale. La violation est également constituée en cas de perte d’un support tel qu’une clé USB contenant des données personnelles.

La violation peut être commise de façon accidentelle, par un tiers malveillant, voire une ressource interne mal intentionnée.

Elle peut entraîner une divulgation ou une altération des données et, dans le pire des cas, leur destruction.

Pour aller plus loin dans les principaux types de violations de données, le Comité européen de la protection des données (le « CEPD ») a publié des lignes directrices comprenant 18 cas pratiques de violations de données.

Nous vous invitons à prendre connaissance des étapes pour faire face à une violation de données.

2. Etapes à suivre pour gérer une violation de données

  • Etape 1 : vérifier l’existence de la violation, informer l’équipe dirigeante et le DPO

En cas de suspicion de violation de données personnelles, la personne découvrant un incident doit vérifier s’il existe une procédure interne au sein de son entreprise et, en tout état de cause, aviser immédiatement l’équipe dirigeante et le DPO, s’il existe.

Si la violation est avérée, les personnes en charge détermineront son origine (intentionnelle ou non intentionnelle), analyseront les risques immédiats engendrés par la violation (sur l’intégrité, la confidentialité ou la disponibilité de données personnelles) et prendront ou feront prendre toutes les mesures pour faire cesser rapidement la violation et/ou en minimiser l’impact.

A noter que si la violation a été subie par un sous-traitant au sens du RGPD, il doit en informer le responsable du traitement.

La suite dépendra du risque créé par la violation pour les personnes concernées : la notification auprès de la CNIL et/ou des personnes concernées n’est pas systématique.

La CNIL indique que l’appréciation du niveau de risque doit être réalisée au cas par cas en tenant compte des éléments suivants :

  • le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;
  • la nature, la sensibilité et le volume des données personnelles concernées ;
  • la facilité d’identifier les personnes touchées par la violation ;
  • les conséquences possibles pour ces personnes ;
  • les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.) ;
  • le volume de personnes concernées ;
  • les caractéristiques du responsable du traitement (nature, rôle, activités).

Il est recommandé de faire appel à un conseil afin d’apprécier le niveau de risque car l’analyse requiert des connaissances et de l’expérience. Si un risque est caractérisé, il est nécessaire de notifier la violation de données à la CNIL.

  • Étape 2 : notifier la violation de données à la CNIL en cas de risque pour les droits et libertés des personnes concernées

En cas de risque pour les droits et libertés des personnes concernées, la violation doit faire l’objet d’une notification à la CNIL par le biais d’un téléservice sécurisé dédié.

La notification doit être réalisée dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

Lorsque la notification à la CNIL n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

Cette notification doit contenir a minima les éléments suivants :

  • la nature de la violation ;
  • les catégories et le nombre approximatif des personnes concernées ;
  • les catégories et le nombre approximatif de fichiers concernés ;
  • les conséquences probables de la violation ;
  • les coordonnées de la personne à contacter (DPO) ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Bon à savoir : vous pouvez réaliser votre notification à la CNIL en deux temps si vous ne détenez pas toutes les informations requises lorsque vous commencez la notification.

  • Etape 3 : notifier la violation de données auprès des personnes concernées en cas de risque « élevé » pour leurs droits et libertés

Si la violation entraîne un risque « élevé » pour les droits et libertés des personnes concernées, la violation doit en plus être notifiée aux personnes concernées au plus tôt, sauf si cette communication impliquerait des efforts disproportionnés.

En cas de doute, vous pouvez contacter la CNIL qui pourra vous indiquer si vous devez notifier aux personnes concernées.

La notification aux personnes concernées doit a minima contenir et exposer, en des termes clairs et précis, les éléments suivants :

  • la nature de la violation ;
  • les conséquences probables de la violation ;
  • les coordonnées de la personne à contacter (DPO) ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Cette notification doit être complétée, dès lors que cela est nécessaire, de recommandations à destination des personnes concernées pour atténuer les effets négatifs potentiels de la violation et leur permettre de prendre les précautions qui s’imposent (changement de mot de passe des utilisateurs d’un service, vérification de l’intégrité des données de leur compte en ligne, sauvegarde de ces données sur un support personnel).

L’ensemble de ces formalités doit être complété par la tenue d’une documentation dédiée à la violation de données.

  • Etape 4 : documenter la violation de données

Peu importe l’existence d’un risque et son niveau, toute violation de données doit être documentée dans un registre de violation ce registre, devant préciser :

  • la nature de la violation ;
  • les catégories et le nombre approximatif des personnes concernées ;
  • les catégories et le nombre approximatif de fichiers concernés ;
  • les conséquences probables de la violation ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
  • le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Nous vous recommandons également de conserver la copie de la notification faite auprès de la CNIL et, le cas échéant, la notification faite aux personnes concernées, les échanges en lien avec la violation ainsi que la documentation technique associée à la violation et aux mesures mises en œuvre pour y remédier.

Cette documentation peut être contrôlée par la CNIL aux fins de vérifier le respect des obligations en matière de violations de données.

Conclusion

Compte tenu de l’importance du formalisme et de la nécessité d’être réactif en cas de violation de données, il est recommandé d’instaurer une procédure interne dédiée aux violations de données. Cette procédure doit être accessible aux équipes.

En complément et afin de prévenir les violations de données, il est conseillé d’effectuer des contrôles réguliers en vue de tester la sécurité et d’installer les mises à jour de sécurité.

L’accompagnement d’experts en cybersécurité permet d’anticiper et de prévenir ces violations. Ces experts peuvent aider à renforcer la sécurité.

Dans ce même objectif, nous vous invitons à nous consulter si vous êtes victime d’une violation de données et que vous craignez de commettre une erreur ou en vue de mettre en place des mesures préventives pour renforcer la sécurité des données que vous traitez. Si la violation a une origine intentionnelle, nous pouvons vous accompagner pour les démarches pénales envisageables en parallèle aux formalités prévues par le RGPD.

Découvrez toute l'actualité juridique

Abonnez-vous à notre newsletter

Recevez tous les mois l’actualité juridique commentée par notre équipe et les incontournables à ne pas rater.

En soumettant ce formulaire, vous acceptez que vos données personnelles soient traitées conformément à la Politique de confidentialité.