Le Règlement général sur la protection des données (RGPD) impose aux entreprises et aux organismes publics de garantir la sécurité des données personnelles qu’ils utilisent, qu’ils soient responsable de traitement ou sous-traitant.
Des mesures de sécurité sont d'autant plus nécessaires que les cyberattaques n’ont cessé d’augmenté ces dernières années, au sein des entreprises et organismes publics. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) note une augmentation de 30% d’attaques par rançongiciel en 2023 par rapport à l’année précédente, dans son « Panorama de la cyber menace 2023 ».
Les incidents de sécurité ont, la plupart du temps, un impact sur les données à caractère personnelles utilisées par les entreprises : perte de disponibilité, d’intégrité ou encore perte de confidentialité des données.
Les entreprises et organismes publics ont l’obligation de notifier ces violations de données personnelles à la Commission nationale de l’informatique et des libertés (CNIL) dans certains cas.
Qu’est-ce qu’une violation de données personnelles ?
La violation de données personnelles est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données » (art.4 RGPD).
En pratique, il s’agit notamment de :
- la perte d’un ordinateur ou d’un smartphone contenant des données personnelles (nom, prénom, bases de données clients ou de patients etc.);
- la suppression accidentelle de données sensibles;
- une cyberattaques causant une indisponibilité de données;
- un vol de données suite à un e-mail malveillant (appelé phishing ou hameçonnage);
- la divulgation de données personnelles en ligne suite à une erreur humaine.
Comment gérer une violation de données personnelles ?
Dès la prise de connaissance de la violation de données personnelles commence un compte à rebours de 72 heures pour notifier celle-ci à la CNIL (cf. infra).
Il est donc nécessaire d’avoir mis en place une procédure de gestion des violations de données personnelles, qui comprendra la liste des personnes à réunir au sein d’une cellule de crise.
Cette cellule de crise devra être en mesure de caractériser la violation de données personnelles, la documenter et prendre des décisions concernant, notamment, la notification de la violation de données personnelles à la CNIL, la notification aux personnes concernées, la communication en interne et en externe.
La gestion de la violation de données à caractère personnelle implique une coopération sans faille entre l’équipe informatique et le délégué à la protection des données.
—> Caractériser la violation de données personnelles
La cellule de crise devra se poser les questions suivantes :
- Quelle est la nature de la violation de données ? (Perte de confidentialité, d’intégrité, de disponibilité des données)
- Quelle est l’origine de l’incident ? ( vol de matériel ou d’un dossier, piratage, envoi de données au mauvais destinataire etc)
- Quelle est la cause de l’incident ? (Acte interne ou externe, et accidentel ou malveillant).
- Quelles sont les catégories de données concernées par la violation ?
- Qe combien de données s’agit-il ?
- S’agit-il de données sensibles ?
- Combien de personnes sont concernées ? (c’est-à-dire quelles sont les victimes de la violation de données, celles dont les données ont été impactées)
- Qui sont les personnes concernées ? (Des usagers, des salariés, des patients, des agents, des clients …)
- Est-ce que des sous-traitants sont impliqués ? Si oui lesquels ?
- Quelles sont les solutions de remédiation immédiates et différées ?
Une fois ces éléments réunis, il est nécessaire d’analyser les préjudices potentiels pour les personnes concernées.
L’objectif de cette analyse sera également d’identifier s’il existe un risque pour les droits et libertés des personnes physiques concernées et le cas échéant, si ce risque est élevé.
—> Documenter
Aux fins de notification mais également de preuve en cas de contentieux, il est indispensable de documenter la gestion de la crise et de rassembler l’ensemble des documents qui appuieront les réponses aux questions mentionnées ci-dessus.
Le responsable du traitement doit également enregistrer cette violation dans son registre des violations de données personnelles.
—> Communiquer aux personnes concernées
Le principe
Les personnes concernées doivent être informées de la violation de leurs données personnelles lorsque cette dernière est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
Cette information devra comprendre, a minima et en termes « clairs et simples », les éléments suivants :
- le nom et les coordonnées du DPO ou d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- les conséquences probables de la violation de données personnelles ;
- les mesures prises ou que le responsable de traitement propose de prendre pour remédier à la violation de données personnelles.
Les exceptions
Le responsable de traitement est exempté d’informer les personnes concernées d’une violation de données personnelles dans trois cas :
1/ des mesures ont été prises pour que les données personnelles soient incompréhensibles ;
2/ des mesures ont été prises a posteriori pour garantir que le risque élevé n’est plus susceptible de se matérialiser ;
3/ une telle information exigerait des efforts disproportionnés.
Dans ce 3ème cas, une communication publique est alors réalisée, en application de l’article 34.3 c) du RGPD.
Enfin, l’article 58.II de la Loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés prévoit une exemption de communication aux personnes concernées.
En effet, les violations de données concernant des traitements nécessaires au respect d’une obligation légale ou à l’exercice d’une mission d’intérêt public n’ont pas à être communiquées aux personnes concernées, lorsque la notification de la divulgation ou de l’accès non autorité à certaines données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
Ces traitements sont listés par l’article 85 du décret 2019-336 du 29 mai 2019 pris pour l’application de la loi « Informatique et Libertés ».
Il s’agit, entre autres, des traitements qui comportent des données à caractère personnel susceptibles de permettre, directement ou indirectement, d'identifier des personnes dont l'anonymat est protégé au titre de l'article 39 sexies de la loi du 29 juillet 1881 sur la liberté de la presse, c’est-à-dire fonctionnaires de la police nationale, de militaires, de personnels civils du ministère de la défense ou d'agents des douanes appartenant à des services ou unités désignés par arrêté du ministre intéressé et dont les missions exigent, pour des raisons de sécurité, le respect de l’anonymat.
—> Notifier la violation de données personnelles à la CNIL
Les violations de données personnelles qui sont susceptibles d’engendrer un risque pour les droits et libertés des personnes doivent être notifiées à la CNIL au plus tard 72 heures après en avoir pris connaissance.
Les fournisseurs au public de services de communications électroniques doivent en revanche notifier leur violation de données à la CNIL sans délai, en application de l’article 83 de la loi dite « Informatique et Libertés ».
Lorsque l’entreprise ou l’organisme public est sous-traitant, au sens du RGPD, il ne lui appartient pas toujours de réaliser cette notification à la CNIL : il faudra en amont vérifier le contrat passé avec le responsable de traitement.
Cette notification se réalise sur le site internet de la CNIL.
Dans son bilan des 5 années de RGPD sur les violations de données personnelles, l’autorité de contrôle expose avoir reçu 17483 notifications entre mai 2018 et mai 2023. Le secteur privé est à l’origine des deux tiers des déclarations.
D’autres obligations de notification peuvent s’imposer aux entreprises ou organismes publics, en fonction de leur secteur d’activité.
Dans le secteur de la santé par exemple, les incidents graves de sécurité des systèmes d’information doivent être notifiées à l’Agence du numérique en santé, en application des articles L1111-8-2 et D.1111-16-2 du code de la santé publique.
Sont concernés par cette obligation : les établissements de santé, les hôpitaux des armées ; les laboratoires de biologie médicale ; les centres de radiothérapie et les établissements médico-sociaux.
Enfin, la directive NIS 2 du 14 septembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (ou SRI 2) étend à un plus grand nombre d’entités, l’obligation de signaler les incidents importants au Centre de réponse aux incidents de sécurité informatique (CSIRT). Les entités concernés sont celles, notamment, du secteur de la santé, du secteur bancaire, de l’eau potable ou encore des transports.
Pour mettre en place vos procédures de gestion des violations de données personnelles ou gérer vos cellules de crise, vous pouvez m'écrire à jessy.pollux@avocat.fr ou prendre RDV via ce site internet.