Violation de données à caractère personnel : quelles informations transmettre à son DPO ?

Quelles informations transmettre à son DPO en cas de violation de données ?

Les données à caractère personnel bénéficient d'une protection renforcée grâce à un cadre juridique strict (principalement régi par le Règlement Général sur la Protection des Données (RGPD)). Un tel cadre se justifie par le fait qu'une mauvaise gestion de ces données, qu’elle soit le fait de personnes non autorisées ou malveillantes, peut engendrer des conséquences graves pour les personnes concernées (telles que l’usurpation d’identité, la fraude ou d’autres atteintes à la vie privée).

La sécurisation des données personnelles est par conséquent encadrée par des règles précises. Tout incident impliquant une "violation de données" doit faire l’objet d’une gestion rigoureuse afin de minimiser les répercussions pour les personnes concernées (voir également Gestion des violations de données : plan d'action en 12 étapes).

Pour toute organisation amenée à traiter des données personnelles, l'une des priorités lors de cette gestion d'incident sera de signaler dans les plus brefs délais toute violation au Délégué à la Protection des Données (DPO) ou, à défaut, au Responsable RGPD.

 

Cet article vise à fournir un guide pratique pour assurer une remontée d'information rapide et complète lors de telles violations.

 

Point de rappel : qu'est-ce qu'une violation de données ?

Conformément à l'article 4(12) du RGPD, une violation de données se définit comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

 

Cela inclut donc les situations suivantes :

 

Plus largement, une violation de données survient dès qu'un événement, qu'il soit d'origine interne ou externe, compromet la disponibilité, la confidentialité ou l'intégrité des données.

 

 

Dès lors qu'une violation de données est constatée, une procédure de gestion d'incident doit être immédiatement déclenchée. Dans ce contexte, la première action pour l'organisme sera de transmettre toutes les informations pertinentes au DPO ou au responsable RGPD désigné.

 

Quelles informations recueillir et transmettre ?

Afin de permettre au DPO de documenter de manière précise la violation et, si nécessaire, d’effectuer rapidement la notification auprès de la CNIL, les informations suivantes devront être communiquées :

 

Concernant la violation elle-même :

  • Date et heure de l’incident : Quand l'événement à l’origine de la violation a-t-il commencé ? (fournir les informations aussi précises que possible).
  • Origines de l'incident : Quelles sont les causes de cet incident ? L’identité des responsables est-elle connue ? S’agit-il d’acteurs internes ou externes à l’organisme ? Était-ce un acte délibéré ou accidentel ?
  • Support de la violation : Sur quel support s’est déroulée la violation ? (ex. : email, clé USB, logiciel malveillant, compte utilisateur compromis, etc.).
  • Personnes concernées : Qui sont les individus affectés par cette violation ? (ex. : clients, prospects, patients, salariés, etc.).
  • Nombre de personnes touchées : Quelle est l’estimation du nombre de personnes impactées par la violation ?

 

Concernant les circonstances de la découverte :

  • Date et heure de la découverte : Quand la violation a-t-elle été constatée ? (ici aussi, le plus précisément possible).
  • Conditions de la découverte : Dans quelles circonstances la violation a-t-elle été identifiée ? Qui s'en est rendu compte et comment ? Combien de temps s'est écoulé entre le début de la violation et sa découverte ?

 

Concernant les mesures prises après la découverte :

  • Gestion de crise : Quelles méthodologies de gestion de crise ont été appliquées (le cas échéant) ? Quels acteurs et quels métiers ont été sollicités ?
  • Actions immédiates : Quelles actions concrètes ont été mises en œuvre pour stopper la violation ? (ex. : réinitialisation des mots de passe, fermeture de comptes, verrouillage à distance d’appareils).
  • Mesures d’atténuation : Quelles actions ont été entreprises pour limiter les effets potentiels de la violation ? (ex. : dépôt de plainte, notification des personnes à risque, etc.)

 

Concernant les mesures de sécurité déjà en place avant l'incident :

  • Mesures techniques : Quelles étaient les mesures techniques prévues pour éviter ce type de violation ? (ex. : sécurité des systèmes d'information, protection des locaux, etc.)
  • Mesures organisationnelles : Quelles étaient les mesures organisationnelles mises en place pour prévenir ce type d’incident ? (ex. : formation du personnel, engagements de confidentialité signés, etc.)

 

Concernant les conséquences potentielles de la violation :

  • Effets indésirables : Quels sont les impacts possibles de cet incident sur les personnes concernées ? (ex. : usurpation d’identité, fraude, divulgation de données sensibles, atteinte à la réputation, etc.)
  • Probabilité de survenance : Quelle est la probabilité que ces effets se concrétisent ? Ces scénarios sont-ils crédibles ? Les mesures prises par l’organisme influent-elles sur les conséquences potentielles de la violation ?

 

La transmission de l'ensemble de ces informations permettra au DPO de documenter la violation avec précision, tout en facilitant, le cas échéant, la notification aux autorités compétentes, voire aux personnes concernées. Une telle démarche garantit une gestion efficace de l'incident, en conformité avec les exigences du RGPD.

Bien sûr, cette liste n'est pas limitative : toute information sur l'incident potentiellement utile à sa compréhension et à sa documentation peut être utile !

 

Important :

La gestion d'une violation de données doit être effectuée dans les plus brefs délais. En effet, lorsqu'un risque pèse sur les personnes dont les données ont été compromises, une notification à l'autorité de protection des données compétente (en France, la CNIL) doit impérativement être réalisée dans un délai de 72 heures suivant la découverte de la violation.

Si toutes les informations nécessaires ne peuvent être réunies dans ce délai, une notification "initiale" peut être effectuée. Celle-ci devra ensuite être complétée dans les plus brefs délais, et au plus tard 72 heures après la première déclaration.

En cas de dépassement de ces délais, il sera nécessaire de justifier les raisons du retard dans la notification.

 

 

__________________________________________

Article écrit par Ninon MAIRE, le 04/10/2024

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaites réserver un appel !