8 Juin 2022
LE VOL DE DONNÉES ÉLECTRONIQUES À CARACTÈRE PERSONNEL
Depuis quelques années, on assiste à une massification des données personnelles. Également, ces dernières ont une valeur importante. Par conséquent, elles sont la cible de nombreux vols. Les violations de données à caractère personnel sont donc très fréquentes, il convient de savoir comment réagir lorsque celle-ci intervient.
La vie privée des personnes à qui appartiennent ces données personnelles se voit donc être impactée par les violations de données. Il est nécessaire de réagir au mieux quand une violation arrive.
Le règlement européen sur la protection des données personnelles qui est entrée en 2018 est venu encadrer cette question. Il s’inscrit dans la continuité de la Loi informatique et Liberté de 1978. En effet, il était nécessaire de renforcer la sécurité ainsi que la protection des données personnelles.
Ce règlement européen vient mettre en place un cadre juridique commun au sein de l’Union européenne.
Besoin de l’aide d’un avocat pour un problème de vie privée ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
La CNIL définit la donnée personnelle, comme « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement. »
Aujourd’hui, les entreprises, les hébergeurs, les sites internet détiennent un nombre très important de données sur les utilisateurs.
Le règlement général sur la protection des données personnelles (RGPD) définit en son article 4 la violation de données personnelles. Il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »
Les responsables de traitement ont une obligation de documentation interne. Un registre doit être tenu contenant toutes les violations de données personnelles. Cette obligation est posée par le RGPD.
Également cette violation devra entraîner une notification à l’autorité compétente, mais aussi aux personnes concernées dès lors que celle-ci présente un risque élevé pour les droits et libertés des personnes.
Il est donc important de se pencher sur le processus de notification en cas de violation de données personnelles.
Le règlement prévoit ainsi les modalités concernant la notification : d’une part à l’autorité compétente (I) et d’autre part aux personnes concernées (II).
I- La notification à l’autorité compétence
Une violation de données devra faire l’objet d’une notification à l’autorité compétente par le responsable de traitement (A) il convient d’étudier le contenu ainsi que les délais de cette notification (B)
A) L’obligation de notification à l’autorité national
Dès lors qu’une violation de données personnelles a eu lieu, le responsable de traitement à une obligation de notification auprès de l’autorité nationale compétente.
Il existe de nombreux types de violation de données à caractère personnel, à titre d’illustration, voici quelques exemples de violation :
- Modification de données après intrusion dans un système informatique
- Suppression de données
- La perte d’une clé USB contenant des informations sur les clients
- Copie des données personnelles malveillantes contenues sur une base de données client
L’obligation de notification d’une violation de données à caractère personnel à l’autorité de contrôle est prévue par l’article 33 du RGPD. En France, l’autorité compétente est la CNIL.
Le règlement européen prévoit en son article 55 que c’est l’état membre qui choisit l’autorité compétente.
B) Les délais et le contenu de la notification à l’autorité nationale compétente
Il est prévu à l’article 33 du RGPD le contenu de la notification ainsi que les délais à respecter. Le responsable de traitement doit réaliser une notification auprès de la CNIL. Celle-ci doit intervenir dans les meilleurs délais, il est précisé que la notification doit être faite au plus tard 72 h après avoir eu connaissance de la violation.
La notification n’aura pas à être réalisée si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Également, le sous-traitant devra notifier au responsable de traitement l’existence d’une violation dans les meilleurs délais. Bien que le règlement ne précise pas de délai exact, il est communément accepté que la notification doit intervenir dans les 48 h à compter de la connaissance de la violation de données personnelles.
L’article 33 du RGPD précise le contenu de la notification, il faudra alors :
« a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
- b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- c) décrire les conséquences probables de la violation de données à caractère personnel;
- d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
L’article prévoit que si les informations ne peuvent être communiquées en même temps, il sera possible de les communiquer plus tard, de manière échelonnée, sans aucun retard indu.
Enfin, le registre des violations devra être renseigné.
II- La notification aux personnes concernées
Il sera parfois nécessaire de notifier la violation de données à caractère personnel aux personnes concernées lorsque celle-ci présente un risque élevé pour les droits et libertés de ces personnes. (A) Néanmoins, dans certains cas, la notification aux personnes concernées ne sera pas nécessaire (B)
A) La nécessité d’une notification aux personnes concernées
La question de la communication aux personnes concernées de la violation de données à caractère personnel est encadrée par l’article 34 du RGPD.
Le responsable de traitement aura l’obligation de communiquer aux personnes concernées l’existence d’une violation de données personnelles si celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La communication devra avoir lieu dans les meilleurs délais.
La communication devra préciser la nature de la violation de données à caractère personnel, mais également contenir au moins une des informations et mesures prévues à l’article 33, paragraphe b), c) et d), citées dans la partie précédente.
Enfin, cette notification devra être réalisée dans des termes simples et clairs.
B) Les cas où cette notification n’est pas nécessaire
Dans certains cas, la notification aux personnes concernées ne sera pas nécessaire. C’est l’article 34 du RGPD qui prévoit ces derniers.
Ainsi, la communication de la violation ne sera pas nécessaire si :
« a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;
- b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visés au paragraphe 1 n’est plus susceptible de se matérialiser;
- c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. »
De plus, si le responsable de traitement n’a pas communiqué aux personnes concernées la violation de données à caractère personnel, alors que la CNIL, après examen de la violation considère qu’elle portait bien un risque élevé que les droits et libertés pour les personnes concernées, l’autorité sera donc en mesure d’exiger que le responsable de traitement procède à la communication de la violation aux personnes concernées.
Pour lire une version plus complète de cet article sur la protection des données personnelles, cliquez
Sources :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre6#Article55
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33