Les incidents de sécurité sont en constante évolution. Il s’agit d’événements qui portent atteinte à la disponibilité, à la confidentialité ou à l’intégrité d’un bien, notamment, l’utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application. La gestion des incidents n’est pas une démarche de sécurité isolée, mais nécessite une préparation et une planification en amont. Aujourd’hui, la plupart des entités n’ont pas de plan de réponse détaillé pour les incidents de sécurité. Alors même, qu’il est évident qu’une entité qui ne se donne pas les moyens d’anticiper les incidents de sécurité rencontrera d’énormes difficultés et mettra plus de temps pour remédier à cet incident en cas de survenance. Comme le dit un proverbe espagnol : « La prudence ne prévient pas tous les malheurs, mais le défaut de prudence ne manque jamais de les attirer! ». En plus, de trouver des solutions pour remédier à l’incident, l’entité doit pouvoir répondre à ses obligations d’information en cas de violation des données à caractère personnel. Le responsable de traitement doit notifier cette violation à l’autorité de contrôle, par exemple, la CNIL en France et dans certains cas communiquer la violation aux personnes concernées par le traitement.
Notification à l’autorité de contrôle d’une violation de données à caractère personnel
La situation de crise et de panique qu’entraîne un incident de sécurité ne doit pas empêcher l’organisme d’informer la CNIL d’une éventuelle violation de données à caractère personnel. Les conditions et la forme de cette notification sont traitées par l’ article 33 du RGPD. Cette disposition précise qu’ « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. » .
Cette obligation est enclenchée à partir du moment où la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
La maîtrise épineuse de la notion de violation et son évaluation
Encore faut-il que le responsable de traitement puisse déterminer dans quel cas la violation présentait ou non un risque pour les droits et libertés des personnes.
Au regard de la logique d’Accountability, il revient au responsable de traitement d’évaluer lui-même si le risque est suffisamment important pour notifier la violation à la CNIL. Autant la violation de certaines données présente un risque évident pour les droits et libertés notamment, les données bancaires, les données sensibles, de même il est difficile d’identifier le risque en cas de violation pour certaines données. Toutefois, dans le doute vaut mieux notifier la violation à la Cnil car l’erreur n’est pas sanctionnable alors que le manquement à l’obligation de notification est sanctionnable. On peut donc se tromper en pensant qu’une violation présente un risque alors qu’il n’en ait rien sans que la CNIL sanctionne cette mauvaise analyse. En revanche, l’omission de notification d’une violation qui s’avère risqué pour les droits et libertés pourra être sanctionné par la CNIL. Ainsi, dans une décision du 7 décembre 2020, la CNIL a sanctionné deux médecins libéraux à hauteur de 9000 euros, en la matière. La décision a porté sur un accès libre à des milliers d’images médicales traitées par les médecins, un incident de sécurité qui n’a pas été notifié à la CNIL dans le temps.
Le strict respect du délai de la notification d’une violation à la CNIL
Le délai laissé au responsable de traitement est précisé par la disposition dans « les meilleurs délais » au mieux dans les 72 heures. La durée commence à courir à partir de la prise de connaissance de la violation. Le retard doit être justifié.
Le responsable de traitement pourrait procéder en deux temps en fonction des informations qu’il détient. Il pourra faire une notification initiale dans les meilleurs délais à la suite de la constatation de la violation, ensuite, après avoir réuni toutes les informations requises, une notification complémentaire dans les 72 heures qui suivent la notification initiale. Cette possibilité offerte par la CNIL comble en quelque sorte la difficulté de soumettre à l’obligation de notification d’une violation.
Par ailleurs, le sous-traitant quant à lui doit notifier au responsable du traitement toute violation de données à caractère personnel dans les mêmes délais après en avoir pris connaissance. Il ne peut donc pas notifier directement à la CNIL à condition que le responsable de traitement lui en donne l’accord et que cela soit prévu explicitement dans le contrat ou la convention initiale. Le RGPD ne traitant pas le cas du silence du responsable de traitement après la notification du sous-traitant, on peut supposer que dans un tel cas le sous-traitant pourrait notifier la violation à la CNIL. Encore une fois, c’est le manquement à la l’obligation de notification qui est sanctionné donc vaut mieux notifier à la CNIL en cas de doute.
Communication à la personne concernée de violation de données à caractère personnel
L’exigence de communication de la violation des données aux personnes “physiques” concernées par le traitement est prévue à l’article 34 du RGPD. Il dispose que: « Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ». Le responsable de traitement doit donc pouvoir déterminer que le risque est “ élevé”. La disposition ne précise pas le seuil qui permettrait de savoir si le risque est élevé pour les droits et libertés des personnes. Ce qui se comprend car l’évaluation d’un tel risque dépendrait de plusieurs critères en fonction des domaines d’activités, des catégories de données, du type de violation et bien d’autres. Ce qui revient à évaluer les situations au cas par cas. En revanche, en règle générale la notion de risque élevé renverrait aux traitements susceptibles d’avoir des incidences négatives pour les libertés et droits des personnes.
En outre, la communication doit être faite en toute transparence en des termes clairs et simples. Elle doit à minima comporter la nature de la violation, les informations et mesures prises pour remédier à la violation et surtout les coordonnées de la personne à contacter au mieux le DPO si l’organisme en a désigné.
Par ailleurs, la disposition n’impose pas ou même ne propose pas un délai précis à respecter. Mais encourage le responsable de traitement à communiquer la violation dans un délai raisonnable, voire le plus rapidement possible.
Lorsque ces deux obligations ne sont pas respectées, la sanction de la CNIL peut être encore plus sévère. Les sanctions du 18 novembre 2020 de 2 250 000 euros et de 800 000 euros respectivement pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE sont une preuve que le non-respect de l’obligation de notification est sévèrement sanctionné par la CNIL. Il s’agit de l’une des sanctions les plus élevées infligées à des sociétés françaises. Les sociétés n’ont ni notifié la violation à la CNIL encore moins aux personnes dont les données sont concernées par la violation.
Toutefois, dans certaines situations le responsable de traitement peut être exonéré de l’obligation de notification aux personnes concernées par la violation.
Les dérogations à l’obligation de communication de la violation aux personnes concernées
Comme nous l’avons vu précédemment, la violation des données doit être communiquée aux concernées par cette violation. En revanche, la communication de violation à la personne concernée n’est pas nécessaire à certaines conditions. D’abord si « le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ». Ou si « le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ». Et enfin si la communication exige « des efforts disproportionnés. Dans ce cas, il peut procéder à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. ». Ces conditions ne sont pas cumulatives, une seule suffit pour exonérer l’organisme de son obligation de communication de violation à la personne concernée.
Mais, la notification à la CNIL reste obligatoire à chaque fois que la violation présente le moindre risque, l’autorité de contrôle pourrait examiner si cette violation est susceptible d’engendrer un risque élevé et exiger au responsable du traitement de procéder à la communication aux personnes concernées.
Auteur:
Stéphane KOUAKOU-KAN, Juriste en conformité, spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.
Pour aller plus loin
