Le 28 mars 2023, le Comité européen sur la protection des données (CEPD) a publié une version révisée de ses lignes directrices sur la notification des violations de données adoptées le 3 octobre 2017. Ces lignes directrices expliquent ainsi les exigences obligatoires de notification des violations et de communication du RGPD, ainsi que certaines mesures que les responsables du traitement et les sous-traitants peuvent prendre pour satisfaire à ces obligations. Elles donnent également des exemples de types de violations et de qui devrait être notifié dans différents scénarios.
Définition :
Le paragraphe 12 de l’article 4 du Règlement Général sur la Protection des Données (RGPD) définit une violation de donnée comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ». Les violations peuvent ainsi être classées selon trois principes bien connus de la sécurité de l’information :
- Violation de la confidentialité : lorsqu’il y a divulgation non autorisée ou accidentelle, ou accès non autorisé à des données à caractère personnel. Par exemple, un tiers informe un responsable du traitement qu’il a accidentellement reçu les données à caractère personnel d’un de ses clients et fournit des preuves de la divulgation non autorisée.
- Violation de l’intégrité : lorsqu’il y a altération non autorisée ou accidentelle de données à caractère personnel. Il pourrait par exemple s’agir d’une personne malveillante qui entrerait dans le système d’information d’un organisme afin de modifier les données d’évaluation professionnelle des salariés.
- Violation de la disponibilité : lorsqu’il y a perte accidentelle ou non autorisée d’accès ou destruction de données à caractère personnel. Une perte de disponibilité peut, par exemple, se produire en cas de perturbation importante du service normal d’une organisation (en cas de panne de courant ou d’attaque de déni de service, rendant les données à caractère personnel indisponibles). Par ailleurs, un incident de sécurité entraînant l’indisponibilité temporaire de données à caractère personnel est également un type de violation, car le manque d’accès aux données peut avoir un impact significatif sur les droits et libertés des personnes concernées. Néanmoins, lorsque les données à caractère personnel sont indisponibles en raison de travaux de maintenance planifiés, il ne s’agit pas d’une « violation de sécurité » telle que définie à l’article 4 (12) du RGPD.
Toujours sur la notion de disponibilité, le CEPD donne deux cas très concrets :
Dans le contexte d’un hôpital, si des données médicales critiques concernant les patients sont indisponibles, même temporairement, cela pourrait présenter un risque pour les droits et libertés des personnes ; par exemple, des opérations pourraient être annulées et des vies mises en danger.
Inversement, dans le cas d’une indisponibilité des systèmes d’une société de médias pendant plusieurs heures (par exemple, en raison d’une panne de courant), si cette société est alors empêchée d’envoyer des newsletters à ses abonnés, cela est peu susceptible de présenter un risque pour les droits et libertés des personnes concernées.
Les cas pratiques du CEPD :
Exemples | Notification à la CNIL | Notification aux personnes concernées | Notes/recommandations du CEPD |
Un responsable de traitement avait stocké une sauvegarde d'une archive de données personnelles chiffrées sur une clé USB. La clé a été volée lors d'un cambriolage. | Non | Non | Tant que les données sont cryptées avec un algorithme de pointe, des sauvegardes des données existent, la clé unique n'est pas compromise et les données peuvent être restaurées en temps voulu, cela peut ne pas être une violation à signaler. Cependant, si elle est ultérieurement compromise, une notification est requise. |
Un responsable de traitement maintient un service en ligne. Suite à une cyberattaque sur ce service, des données personnelles de particuliers sont exfiltrées. Le responsable de traitement a des clients dans un seul État membre. | Oui, signaler à la CNIL s'il y a des conséquences probables pour les particuliers. | Oui, signaler aux personnes concernées en fonction de la nature des données personnelles affectées et si la gravité des conséquences probables pour les particuliers est élevée. | x |
Une brève coupure de courant de plusieurs minutes dans un centre d'appels d'un responsable de traitement empêche les clients de contacter le responsable de traitement et d'accéder à leurs dossiers. | Non | Non | Il ne s'agit pas d'une violation à signaler, mais d'un incident enregistrable conformément à l'article 33(5). Le responsable de traitement doit conserver des enregistrements appropriés. |
Un responsable de traitement est victime d'une attaque par rançongiciel qui entraîne le cryptage de toutes les données. Aucune sauvegarde n'est disponible et les données ne peuvent pas être restaurées. Après enquête, il devient évident que la fonctionnalité unique du rançongiciel était de crypter les données et qu'aucun autre logiciel malveillant n'était présent dans le système. | Oui, signaler à la CNIL s'il y a des conséquences probables pour les particuliers, car il s'agit d'une perte de disponibilité. | Oui, signaler aux personnes concernées en fonction de la nature des données personnelles affectées et de l'effet possible de la non-disponibilité des données, ainsi que d'autres conséquences probables. | Si une sauvegarde était disponible et que les données pouvaient être restaurées en temps voulu, cela ne devrait pas être signalé à la CNIL ni aux personnes concernées, car il n'y aurait eu aucune perte permanente de disponibilité ou de confidentialité. Cependant, si la CNIL prenait connaissance de l'incident par d'autres moyens, elle pourrait envisager une enquête pour évaluer la conformité aux exigences de sécurité plus larges de l'article 32. |
Gravité pour les personnes | Oui | Seuls les individus concernés sont notifiés s'il y a un risque élevé et s'il est clair que d'autres n'ont pas été affectés. | Si, après une enquête plus approfondie, il est identifié que d'autres individus sont affectés, une mise à jour doit être transmise à la CNIL et le responsable de traitement doit prendre des mesures supplémentaires pour informer les autres individus s'ils courent un risque élevé. |
Un responsable de traitement exploite une place de marché en ligne et a des clients dans plusieurs États membres. La place de marché est victime d'une cyberattaque et les noms d'utilisateur, les mots de passe et l'historique des achats sont publiés en ligne par l'attaquant. | Oui, signaler à la CNIL principale s'il implique un traitement transfrontalier. | Oui, cela pourrait entraîner un risque élevé. Le responsable de traitement devrait prendre des mesures, par exemple en réinitialisant les mots de passe des comptes concernés, ainsi que d'autres mesures pour atténuer le risque. | Le responsable de traitement devrait également tenir compte de toute autre obligation de notification, par exemple en vertu de la directive NIS en tant que prestataire de services numériques. |
Une société d'hébergement de sites web agissant en tant que sous-traitant identifie une erreur dans le code qui contrôle l'autorisation des utilisateurs. L'effet de la faille signifie que n'importe quel utilisateur peut accéder aux données de compte de n'importe quel autre utilisateur. | En tant que sous-traitant, la société d'hébergement de sites web doit notifier ses clients concernés (les responsables de traitement) sans délai indu. À condition que la société d'hébergement de sites web ait effectué sa propre enquête, les responsables de traitement concernés devraient être raisonnablement confiants quant à savoir s'ils ont subi une violation et devraient donc être considérés comme ayant "pris connaissance" une fois qu'ils ont été informés par la société d'hébergement (le sous-traitant). Le responsable de traitement doit ensuite notifier la CNIL. | Si les particuliers ne courent vraisemblablement pas de risque élevé, ils n'ont pas besoin d'être notifiés. | La société d'hébergement de sites web (sous-traitant) doit tenir compte de toute autre obligation de notification (par exemple, en vertu de la directive NIS en tant que prestataire de services numériques) et coopérer avec les responsables de traitement pour les aider à se conformer à leurs obligations. |