Après une lecture attentive des travaux du G29¹ (Groupe de travail Article 29 sur la protection des données), il convient de retenir quelques points structurants.

Quelles sont les obligations en matière de violation de données selon le RGPD ?

Le Règlement Général de la protection des données (RGPD/GDPR) introduit l’obligation de notifier à l’autorité nationale de surveillance compétente (ou en cas de violation transfrontalière, à l’autorité principale) une violation de données à caractère personnel.

Cela concerne également aux personnes concernées comme le précise l’article 34 : « Lorsque la violation de données à caractère personnel est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique la violation des données personnelles à la personne concernée sans retard injustifié. »

Qu’est-ce qu’une violation de données selon le RGPD ?

Selon le G29, les violations pouvaient être classées selon les trois principes de sécurité de suivants :

• « La violation de la confidentialité » – en cas de divulgation ou d’accès non autorisé ou accidentel à des données personnelles.
• « La violation de l’intégrité » – en cas de modification non autorisée ou accidentelle des données personnelles.
• « La violation de disponibilité » – en cas de perte accidentelle ou non autorisée de données personnelles ou de destruction de celles-ci.

Comment pouvez-vous appréhender ces 3 domaines ?

Nous avons retenu les 6 cas concrets dans les travaux du G29.

1-Vous disposez d’archives de données personnelles dans une clé USB cryptée, vous la perdez ou vous vous la faites voler.

Vous n’êtes pas tenu de le notifier à l’autorité nationale de surveillance compétente (CNIL en France), ni à l’information des personnes concernées.

Tant que les données sont cryptées, que la clé USB n’est pas compromise et que vous disposez d’une sauvegarde de ces données qui peut être restaurée en temps utile.

Toutefois, le cryptage a été levé, la compromission est caractérisée vous devez procéder à l’information de l’autorité nationale de surveillance compétente (CNIL en France) et selon les cas aux personnes concernées si cette violation présente un risque élevé pour les droits et libertés.

2-Votre système d’information subit une cyberattaque et à cette occasion des données personnelles sont exfiltrées.

Vous devez procéder à la notification à l’autorité nationale de surveillance compétente s’il y a des conséquences probables pour les individus.

Il en est de même pour les personnes concernées si la gravité des conséquences probables pour les individus est élevée.

Comme le suggère, les travaux du G29, la notification autorité nationale de surveillance compétente permet d’obtenir des conseils sur la nécessité ou non d’informer les personnes concernées.

Il conviendra d’attendre la mise en application de ce principe afin de pouvoir évaluer la contribution de l’autorité nationale de surveillance compétente comme la CNIL dans ce genre de situation.

3-Les dossiers médicaux dans un hôpital ne sont pas disponibles pour une période de 30 heures suite à une cyberattaque.

La notification de l’autorité de surveillance et l’information des patients s’avèrent incontournables en raison du risque élevé pour les droits et les libertés.

L’indisponibilité du dossier est de nature à affecter sa santé et ses droits :

• L’indisponibilité du dossier est de nature à retarder une opération chirurgicale.
• Il aura peut-être à subir de nouveaux examens médicaux.

4-Un de vos clients vous signale qu’il a reçu par une relève comprenant des données personnelles d’un autre de vos clients. Vous entreprenez une enquête de courte durée (c’est-à-dire dans les 24 heures) et établissez avec une certitude raisonnable qu’une violation de données personnelles a bien eu lieu et qu’elle est de nature d’affecter ou d’affecter d’autres personnes.
Si après une enquête interne, vous déterminez qu’un plus grand nombre de personnes est touché, il vous appartient d’informer l’autorité de surveillance (CNIL en France).

Vous devez en outre d’informer les personnes concernées d’il y a un risque élevé pour les droits et les libertés.

5-Vous exploitez un site de vente de commerce électronique et avez plusieurs clients dans des États membres de l’UE.  Vos serveurs subissent une cyberattaque. Refusant de payer une rançon, vos assaillants publient les noms des utilisateurs, les mots de passe et l’historique des achats.
Vous devez informer une autorité de surveillance (En France CNIL ou une autre autorité au titre du « guichet unique ».)

Vous serez en outre tenu de prendre des mesures, par exemple, en forçant les réinitialisations de mot de passe des comptes affectés, ainsi que d’autres mesures pour atténuer le risque.

En ce qui concerne les personnes concernées, il est de même, car cette divulgation entraîne un risque élevé pour les droits et leurs libertés.

6-Un e-mail de marketing direct est envoyé aux destinataires dans les champs « to: » ou « cc: », permettant ainsi à chaque destinataire de voir l’adresse e-mail des autres destinataires.

La notification à une autorité de surveillance doit être opérée dans les cas suivants :

• Si un grand nombre de personnes est touché.
• Si des données sensibles sont révélées (par exemple une liste de diffusion d’un psychothérapeute) ou si d’autres facteurs présentent des risques élevés (par exemple, le courrier contient les mots de passe initiaux).

L’information des personnes concernées peut s’avérer nécessaire selon la portée et le type de données personnelles impliquées et la sévérité des conséquences possibles.
La notification peut ne pas être nécessaire si aucune donnée sensible n’est révélée et si seulement un nombre mineur d’adresses e-mail est révélé.

L’échange avec l’autorité nationale de surveillance compétente s’avérera utile pour obtenir des conseils sur la nécessité ou non d’informer les personnes concernées.

Si cet article vous a plu, n’hésitez pas à le partager et nous adresser vos commentaires.

Besoin d’un avis spécifique ? Programmez votre rendez-vous en visioconférence.

¹Retrouvez l’ensemble des travaux du G29 dans le support suivant « Guidelines on Personal data breach notification under Régulation 2016/679 – Adopted on 3 October 2017 -As last Revised and Adopted on 6 February 2018”.