Violation de données : Comment et pourquoi réagir ?

27/11/2023
🛡️ Sécurité

Les violations de données personnelles représentent un risque majeur en termes de cybersécurité et plus largement, pour la protection des données personnelles, en vertu du Règlement Général sur la Protection des Données (RGPD). Tous les organismes collectant des données personnelles doivent être en mesure de réagir de manière appropriée en cas de violation de données. 

C’est dans l’optique d’éviter que les violations de données ne causent un préjudice aux organismes et aux personnes concernées que le RGPD a prévu un certain nombre d’obligations.

La CNIL a notamment mis en place une procédure visant à signaler les violations de données et informer, si nécessaire, les personnes concernées.

Dans ce guide, nous aborderons les points suivants :

  • En quoi consiste les violations de données personnelles ?
  • Quelles sont vos obligations en cas de violations de données ?
  • Quelles sont les étapes à suivre lorsque l’on détecte une violation de données ? 

1- Qu’est-ce qu’une violation de données ? 

Violation des données à caractère personnel : une définition RGPD

Le terme de violation de données à caractère personnel est défini à l’article 4 du RGPD de la manière suivante : “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données”. 

Concrètement, une violation des données à caractère personnel correspond à une violation de leur sécurité entraînant, de manière intentionnelle ou non, la destruction, la perte, la divulgation ou l’accès non autorisé.

Il s’agit d’un incident de sécurité qui peut aussi bien provenir d’une malveillance externe (par exemple un piratage conduisant au transfert des données) ou d’un accident interne (par exemple, incident informatique conduit à la suppression des données personnelles).

La violation est caractérisée lorsque l'intégrité de la donnée est menacée par la destruction, l'altération , la perte, la modifications non autorisée de données, la divulgation non autorisée de données, la conservation ou un traitement selon des procédés différents de ceux autorisés ou encore l'accès à une personne non autorisée. 

Les causes de violations de données 


Il s’agit d’un problème de sécurité qui peut être causé : 

  • De manière illicite : due à une malveillance externe ou interne. 

Exemple : un piratage informatique conduisant au vol d’une base de données en vue de la revendre sur le darknet.

  • De manière accidentelle : due à un accident interne.

Exemple : une suppression accidentelle des données dans un outil suite à une mauvaise manipulation.

En résumé, la violation des données est le terme qui désigne tout incident de sécurité impliquant des données personnelles. 


📢 Rappel : Les données à caractère personnel correspondent à toute informations directe ou indirecte relatives à une personne physique identifiée ou identifiable.


Les violations de sécurité sont principalement dues à une faille de sécurité (par exemple un mauvais paramétrage d'un sites web ou de l'accès aux bases de données), un accident (incendie, panne matérielle, une erreur (de saisie, de conception des systèmes, de manipulation d’un outil ou une malveillance (phishing, vol de matériel, accès frauduleux).

Des exemples de violation de données personnelles


Voici quelques exemples récents :

🔎Exemple : Vol de données suite à une attaque informatique :

Le 25 octobre 2023, l’horloger japonais Seiko révélait qu’une vaste base de données contenant les informations de ses clients a été divulguée par un groupe de hackers suite à une cyberattaque par ransomware. Il s’agit d’un vol de données personnelles. 

Au mois d'août 2023, à la suite d’une violation du système d’information touchant l'un des sous-traitants de Pôle Emploi (la société Majorel), près de 10 millions de demandeurs d'emploi ont vu leur données personnelles volées. Cette base de données serait en vente sur le darknet. Les données concernées par cet acte de cyber malveillance permettent d’identifier parfaitement les personnes concernées puisqu’il s’agit des noms et prénoms ainsi que le numéro de sécurité sociale. 

🔎Exemple  : Accès à des données personnelles par des personnes non autorisées

En mai 2023, Microsoft a connu un bug interne dans la gestion de la confidentialité des données ayant eu pour conséquence l’exposition accidentelle de 38 téraoctets d'informations personnelles depuis l’un de ses Github public consacré à l’intelligence artificielle. Du fait de ce bug, celles-ci sont devenues accessibles à des personnes non autorisées, ce qui constitue une violation de données. 

🔎Exemple  : Perte de données 


Un incident technique est survenu lors du déploiement d'une nouvelle fonctionnalité sur les dossiers médicaux de Doctolib. Cet incident a eu pour conséquence l'absence de sauvegarde des observations médicales saisies par de nombreux médecins entre le 26 et le 27 avril 2023. De ce fait, toutes les informations ont été définitivement perdues. 

Cependant, l' entreprise n'a pas jugé nécessaire de signaler l'incident à la CNIL car il s’agissait d'une perte d'informations, et non d'une fuite ou d'un vol.  Or, la CNIL définit une violation de données notamment comme "une violation de la sécurité entraînant notamment la perte de données à caractère personnel...".

Cet exemple est intéressant concernant l‘interprétation de la notion de “violation de données”. 


2 - Les obligations RGPD relatives aux violation des données


Le RGPD a pour objet de protéger les données personnelles. Une grande partie du règlement concernant la sécurité des données. Ces mesures ont précisément pour objet de prévenir toute violation de donnée. Des obligations a posteriori sont également prévues lorsqu'un l'incident est survenu. Suivez le guide !

2.1. Violation de données personnelles : qui est responsable ?

Responsable de traitement et sous-traitant : définition

Il existe deux rôles définit par le RGPD : au sein de chaque traitement de données, plusieurs organisme peuvent intervenir : un responsable de traitement et un ou plusieurs sous-traitant.

Pour rappel, le responsable de traitement est l'organisme qui détermine la finalité et les moyens du traitement de la donnée personnelle. Le sous-traitant est l’organisme (souvent un prestataire de service) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement.

Par exemple, votre outil d'envoi d'emailling marketing opère en tant que sous-traitant dans vos opérations marketing pour lequel votre organisme est responsable du traitement ou des traitements relatifs aux activités marketing.

La responsabilité en matière de violation de données personnelles  

L'article l’article 33 RGPD est formel : seul le responsable de traitement est responsable d'une violation de données personnelles, quand bien même celle-ci a pour origine les systèmes de son sous-traitant. C'est la raison pour laquelle, le responsable du traitement doit auditer ses sous-traitants afin de s'assurer qu'ils assurent un haut niveau de sécurité des données qui sont transférées.

Pour autant, le sous-traitant a également des obligations : celle de notifier toute violation de données "dans les meilleurs délais après en avoir pris connaissance" (article 33 RGPD).

2.2 Violation de données personnelles : les actions préventives

Comme décrit plus haut, responsable du traitement ou sous-traitant doivent mettre en place : 

  1. des mesures visant à prévenir tout risque pour la sécurité des informations personnelles : mettre en place des mesures de sécurité visant à se prémunir de tout piratage ou accident ; 
  2. une procédure afin de : 
  3. réagir de manière appropriée en cas de violation de données, 
  4. de mettre fin à cet incident , 
  5. d’en minimiser les effets.

La première étape est donc de mettre en place des mesures de sécurité.

Mises en oeuvre des mesures de sécurité

Des procédures adéquates doivent être mises en place pour : 

  • être en capacité de détecter immédiatement une violation de données, 
  • mettre fin à celle-ci dans les meilleurs délais ;
  • analyser le risque engendré par l’incident
  • déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées.

Pour cela, il existe une liste de mesures de sécurité à mettre en oeuvre en priorité :

  • Mise en place de mot de passe robuste, par exemple avec une authentification à double facteurs.
  • Mise en place de contrôle d'accès physique
  • Formation et sensibilisation des équipes
  • Une gestion précise des habilitations pour accéder aux données personnelles
  • Prévoir des solutions de sécurité réseau avancée
  • Sauvegarde régulières
  • Audit et contrôle des sous-traitants
  • Mises à jour régulière des systèmes
  • Sécurisation des endpoints.

Réalisation d'une analyse d'impact (AIPD ou PIA)

L'analyse d’impact sur la protection des données (AIPD) ou en anglais Privacy Impact Assessment (PIA) est une analyse de risque que le responsable du traitement est tenu de réaliser lorsqu’il existe un risque élevé pour les droits et libertés des personnes concernées (article 35 RGPD).

C'est un document de conformité, et dans certain cas, il est obligatoire, qui permet d'analyser les risques de violation de données avant le lancement d'un traitement. Dans ce document, le responsable de traitement met dans une balance les mesures de sécurité existantes et prévues face aux risques de survenance d'une violation de données et aux conséquences d'un tel incident sur la vie privée des personnes. Le PIA doit conclure à une analyse de risque permettant de décider le lancement du traitement ou justement de le retarder en attendant la mise en place de mesures de sécurité supplémentaires.

C'est un outil indispensable pour empêcher tout risque d'altération ou d'incident de sécurité portant atteinte à l'intégrité des données.  

2.3. Les étapes à suivre en cas de violation de données personnelles  

Une fois qu’une violation de données a été détectée, que faire ? La CNIL a mis en place une procédure à suivre :  

Etape n°1 : Analyser les risques engendrés par la violation des données

Le responsable de traitement doit analyser le risque pesant sur les droits et libertés des personnes concernées. 
Dans le même temps, toutes les mesures techniques et organisationnelles doivent être mises en place dans les meilleurs délais afin de faire cesser la violation des données personnelles (article 32 RGPD).

L’évaluation des risques se fait au regard des critère suivants : 

  • Le type de violation de données : accès libre aux données, modification des données, suppression des données, vol de données etc; 
  • La nature de données affectées : données à caractère personnel, données sensibles (article 9 du RGPD), informations relatives aux condamnations pénales (article 10 du RGPD);
  • Le volume de données et le nombre personnes concernées
  • Le degré d’anonymisation des données : s’il est ou non facile d’identifier les personnes concernées avec les données faisant l’objet d’une violation; 
  • Les conséquences possibles pour ces personnes : réputation, risques financiers, etc. ; 
  • Les catégories de personnes concernées : personnes vulnérables, mineurs etc.

Etape n°2 : Identifier les actions à mettre en place en fonction du risque détecté

Les actions à mettre en œuvre dépendent du degré de risque pour les personnes identifié au cours de l’analyse.

Le risque est classé en trois catégories :  

Pas de risque particulier 

Si l'incident de sécurité ne présente pas de risque pour les droits et libertés des personnes concernées, celui-ci doit simplement être documenté en interne dans un registre. La CNIL doit pouvoir avoir accès à cette documentation. 

Existence d’un risque

Si l'incident de sécurité présente un risque pour les droits et libertés des personnes concernées, celle-ci  : doit être documentée en interne et faire l’objet d’une notification auprès de la CNIL. 

Existence d’un risque élevé 

Si l'incident de sécurité présente un risque élevé pour les droits et libertés des personnes concernées, celle-ci : 

  • doit être documentée en interne, 
  • être notifié à l'autorité de contrôle, 
  • et faire l’objet d’une information auprès des personnes concernées.

Etape n°3 : Notification de la violation de données à la CNIL 

Délai de notification à la CNIL

Si au terme de l’analyse de l’incident, il s’avère que la violation des données présente un risque pour les droits et libertés des personnes concernées, le responsable de traitement notifie obligatoirement la CNIL dans un délai de 72 heures.

En effet, l’article 33 du RGPD impose au responsable de traitement de notifier l'autorité de contrôle lorsqu'un un risque avéré pèse sur les droits et libertés des personnes physiques.
Cas où la violation de données survient chez un sous-traitant : 

  1. Le sous-traitant notifie au responsable de traitement l'incident dans les meilleurs délais après en avoir pris connaissance ; 
  2. Le responsable de traitement notifie la CNIL de la violation de données dans les 72 heures après en avoir pris connaissance.
  • Mentions obligatoires dans la notification de violation de données

La notification à la CNIL doit mentionner :

  1. Le nom et les coordonnées du délégué à la protection des données (DPO) ou du responsable de traitement;
  2. Les mesures prises pour mettre fin à la violation de données et celles envisagées pour que cet incident ne se répète pas ;
  3. La liste des conséquences de la violation de données sur les personnes physiques concernées;
  4. La preuve de la date à laquelle l'incident a été connu (pour juger du respect des 72h de délai);
  5. Les raisons du retard en cas de transmission de la notification au-delà des 72 heures.

Etape n°4 : Analyse de la notification de violations de données par la CNIL

Une fois que le responsable de traitement a notifié la violation de données, celle-ci suit le processus suivant au niveau de la CNIL

  • Réception de la notification ; 
  • Vérification du délai de 72h de notification ; 
  • Examen des éléments liés à la violation de données ; 
  • Rendu d’un avis et conseils adressés au responsable de traitement sur les mesures à prendre pour faire cesser la violation de données et en minimiser les conséquences
  • Le cas échéant, demande au responsable de traitement d’informer les personnes concernées de la violation de données.

Etape n°5 : Notification aux personnes concernées

Lorsqu’une violation de données à caractère personnel présente un risque élevé pour les droits et libertés, le responsable du traitement doit communiquer sur celle-ci auprès des personnes concernées, dans les meilleurs délais (article 34 RGPD).

🛎️ Même en cas de risque élevé, il n’est pas nécessaire d’informer les personnes concernées si toutes les mesures nécessaires ont été prises pour que les données à caractère personnel ayant fait l’objet d’une violation ne puissent pas être utilisées.
Dans le cas contraire, la notification doit être effectuée :

  • directement auprès de la personne concernée ou via une communication publique (un communiqué par exemple),
  • dans des termes clairs et simples afin que les personnes comprennent bien les enjeux.

💡 Vous avez un doute sur l'existence d'un risque élevé et hésitez à communiquer auprès des personnes concernées sur la violation de données dont votre organisme a été victime ?N’hésitez pas à demander son avis à la CNIL dans les meilleurs délais.

🔎 Ainsi pour reprendre l’exemple de Doctolib, l’entreprise a jugé que puisque les données ont été perdues et non volées, l’incident ne présentait pas de risque pour la vie privée des personnes. Ils ont estimé qu’il n’était alors pas nécessaire d’effectuer une notification auprès de la CNIL. Or, parmi les exemples de violation de données que donne la CNIL figure “la suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs”.

L’absence de sauvegarde peut être assimilée à une suppression des données. En tout état de cause, il semble que l' entreprise aurait dû signaler cet incident à la CNIL.


Etape n°6 : Documenter la violation de données

Dans tous les cas, que l'incident fasse ou non l’objet d’une notification à la CNIL et aux personnes concernées, le responsable de traitement doit la documenter.  

Le registre des violations de données doit comporter : 

  • Les faits ayant conduit à la violation des données à caractère personnel ; 
  • Ses conséquences sur l’organisme et les personnes concernées ; 
  • Les mesures prises pour la faire cesser ; 
  • Les mesures prises pour en minimiser les conséquences. 


Cette documentation doit permettre à la CNIL de vérifier le respect des règles en matière de notifications des violations des données a sein de l' entreprise. A ce titre, la CNIL peut demander au responsable de traitement l'opportunité de contrôler cette documentation interne. 

👉 Besoin d’aide pour identifier les risques de violation de données et les limiter ? Pour vous aider au quotidien, Leto propose :


Le logiciel RGPD Leto simplifie le suivi des risques et des incidents de violations de données personnelles.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

Le cyberscore : un outil très simple pour protéger votre vie privée
24/5/2022
Mettre en place une politique de sécurité informatique : les bonnes pratiques
18/12/2023
Profilage et conformité au RGPD : les règles à suivre
9/5/2023
Blockchain et RGPD : problématique et solutions
17/2/2023

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutubeConnexion
Légal
Où est la bannière de cookie RGPD ?Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023