Le nouveau Règlement (UE) 2016/679 relatif à la protection des données (« RGPD » ou le « Règlement ») introduit de nouvelles obligations concernant les notifications de violation de données à caractère personnel (« violation de données ») [1] :

Le responsable du traitement doit par conséquent être en mesure d’identifier une violation de données (1) et de déterminer le niveau de risque qu’elle peut engendrer (2) afin, le cas échéant, de pouvoir notifier les autorités et les personnes concernées dans les délais impartis (3). Le responsable du traitement doit également documenter toutes les violations de données (4) et organiser la relation contractuelle avec le(s) sous-traitant(s) qui pourraient être concernés (5).

1 - Qu’est-ce qu’une violation de données ?

Une violation de données est définie comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données »[2].

Lors de leur identification et afin d’évaluer les risques, les violations de données peuvent être classées en trois catégories, une même violation pouvant concerner plusieurs catégories :

> violation de confidentialité : divulgation ou accès non autorisé ou accidentel à des données à caractère personnel ;

> violation de disponibilité : perte d’accès ou destruction accidentelle ou non autorisée des données à caractère personnel ;

> violation d’intégrité : modification non autorisée ou accidentelle des données à caractère personne.

2 - Comment déterminer le risque pour les droits et libertés des personnes concernées ?

Le responsable du traitement doit rapidement déterminer si la violation de données est susceptible d’engendrer un risque (élevé) afin, le cas échéant, de pouvoir notifier l’autorité de contrôle et les personnes concernées dans les délais impartis.

Il n’existe pas de définition précise de « risque » ou de « risque élevé » dans le Règlement. Les autorités rappellent toutefois que dans la mesure où la violation de données s’est produite, il s’agit d’évaluer la gravité et la probabilité de survenance des conséquences de cette violation.

Il convient, à cet effet, de prendre en compte les circonstances spécifiques de la violation dont notamment le type de violation (confidentialité, disponibilité, intégrité) ; la nature, le volume et la sensibilité des données (ex : données de carte de paiement, données de santé) ; le nombre et type de personnes concernées (ex : personne vulnérable, mineur, patient) ; les possibilités d’identification des personnes ; les caractéristiques du responsable du traitement ; et la gravité des conséquences (risques susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral tel qu’une discrimination, une usurpation d’identité, une perte financière, une atteinte à la réputation ou une perte de confidentialité de données protégées par le secret professionnel).

3 - Dans quelles conditions faut-il notifier les violations de données ?

3.1 - Obligation de notifier l'autorité de contrôle dans les 72 heures en cas de risque

Le responsable du traitement doit notifier l’autorité de contrôle compétente lorsque la violation de données est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées (dans le cas d’un traitement de données transfrontalier, l’autorité compétente est l’autorité de contrôle chef de file).

Cette notification doit avoir lieu dans les meilleurs délais et si possible, dans les 72 heures après avoir pris connaissance de la violation. Encore faut-il que le responsable du traitement ait pu, dans ce délai, identifier si la violation présentait un risque pour les droits et libertés des personnes concernées, tout dépassement du délai de 72 heures devant toutefois être justifié lors de la notification.

3.1.1 - A quel moment le responsable du traitement "prend connaissance" de la violation ?

Le responsable du traitement devrait être en mesure de prouver à quel moment il a pris connaissance de la violation dans la mesure où il s’agit du point de départ du délai de notification.

Selon les autorités[3], le responsable du traitement a « pris connaissance » de la violation de données dès lors qu’il a un degré raisonnable de certitude qu’un incident de sécurité ayant conduit à la compromission de données à caractère personnel s’est produit.

En pratique, une première investigation rapide peut être nécessaire afin de recueillir des éléments permettant de confirmer avec un degré raisonnable de certitude la réalité de la violation de données.

3.1.2 - Contenu de la notification à l'autorité de contrôle

La notification devrait contenir les éléments suivants[4] :

> une description de la nature de la violation de données, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif de données à caractère personnel concernées ;

> le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel il est possible d’obtenir plus d’informations ;

> une description des mesures prises ou envisagées, y compris des mesures visant à atténuer les éventuelles conséquences négatives ;

> une description des conséquences probables de la violation de données.

3.1.3 - Gestion des retards et notifications complexes

Si le responsable du traitement ne dispose pas de toutes les informations requises, il peut les fournir au fur et à mesure qu’il en prend connaissance.[5] Il est toutefois recommandé de l’indiquer à l’autorité de contrôle dès la première notification et de donner les raisons du retard si l’échelonnement implique le dépassement du délai de 72 heures.

Il est également possible de faire une notification commune pour des violations similaires qui se sont produites sur une courte période. Le temps de l’investigation de toutes les violations peut éventuellement justifier un retard.

3.2 - Obligation de notifier les personnes concernées dans les meilleurs délais en cas de risque élevé

Lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit informer la personne concernée de la violation de données dans les meilleurs délais[6] afin qu’elle puisse prendre les précautions nécessaires.

3.2.1 - Notion de "meilleurs délais" et coopération avec les autorités

En pratique, le délai de notification peut varier en fonction de la nécessité d'atténuer un risque immédiat de dommage (notification immédiate) ou de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation de données ou la survenance de violations similaires (délai plus long). La notification devrait également être effectuée en coopération étroite avec l'autorité de contrôle, dans le respect des directives de cette dernière et/ou d'autres autorités compétentes, telles que les autorités répressives.[7]

Ainsi, à moins qu’une notification immédiate des personnes concernées ne soit nécessaire, le responsable du traitement devrait, dans le cadre de la notification de violation de données, demander conseil à l’autorité de contrôle pour évaluer la nécessité de communiquer aux personnes concernées, cette dernière pouvant également obliger le responsable du traitement à notifier les personnes concernées.

3.2.2 -Contenu et mode de notification des personnes concernées

Le contenu de la notification des personnes concernées est similaire à celle qui doit être faite aux autorités à l’exception de la description de la nature de la violation qui doit être expliqué en des termes clairs et simples. Elle devrait également inclure toute recommandation visant à atténuer les effets négatifs de la violation de données.[8]

La notification devrait, en principe, être effectuée directement auprès de la personne concernée à moins que cela implique un effort disproportionné. Dans ce cas une communication publique ou une mesure similaire doit être mise en œuvre pour que les personnes concernées soient informées.[9]

3.2.3 -Exception à l'obligation de notification

La notification n’est plus obligatoire [10] :

> dès lors que des mesures de protection technique et organisationnelle appropriées ont été appliquées aux données à caractère personnel concernées et ont, en particulier, rendu les données incompréhensibles à toute personne non autorisée (ex : chiffrement) ; ou

> si des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser, ont été mises en œuvre.

4 - Obligation de documenter toutes les violations de données

Le responsable du traitement doit documenter toutes les violations de données et plus particulièrement celles qui n’ont pas fait l’objet d’une notification, en indiquant notamment les faits concernant la violation de données, ses conséquences et les mesures prises pour y remédier.[11]

Les autorités recommandent également que le responsable du traitement motive les décisions de ne pas notifier une violation. Cela permet de contrôler la conformité au Règlement et d’assurer un suivi notamment dans le cas d’un changement de circonstances qui pourrait obliger le responsable du traitement à notifier une violation de données passée (ex : une clé de chiffrement d’un fichier volé, dont une copie a été conservée, qui a été ultérieurement compromise).

5 - Rôle du sous-traitant

Les sous-traitants ont l’obligation de notifier au responsable du traitement toute violation de données dans les meilleurs délais après en avoir pris connaissance[12].

Les autorités considèrent que dès lors que le sous-traitant a pris connaissance de la violation, le responsable du traitement est supposé en avoir aussi pris connaissance ; aussi, elles recommandent que le sous-traitant notifie immédiatement le responsable du traitement de toute violation ayant eu lieu, des informations supplémentaires sur la violation pouvant être fournies ultérieurement en fonction de l’avancement de l’investigation. Il est donc important de prévoir ces conditions dans les contrats et de s’assurer que les mesures techniques et organisationnelles ont été mises en place.

Il est également possible d’envisager que le sous-traitant notifie l’Autorité au nom du responsable du traitement. Ce point doit être prévu au contrat qui les lie sans pour autant que cela ne donne lieu à un transfert de responsabilité du responsable du traitement vers le sous-traitant.