Comment déclarer une violation de données à la CNIL ?

Suivant le site data.gouv.fr, entre les mois de janvier et de novembre 2020, 2570 violations de données ont été notifiées à la Commission nationale de l’informatique et des libertés (« CNIL »).

Alors que les violations de données comportent un risque pour les droits et libertés des personnes concernées en ce qu’elles peuvent, si l'on n'intervient pas à temps et de manière appropriée, causer aux personnes concernées des dommages (qu’ils soient physiques, matériels ou un préjudice moral, tels qu'une perte de contrôle sur leurs données, une discrimination, un vol ou une usurpation d'identité, une perte financière ou une atteinte à la réputation), il est impératif pour les personnes, entreprises et organismes publics traitant de données personnelles de détecter les failles de sécurité et violations de données afin d’y remédier et de limiter au maximum ce risque d’atteinte.

A cette fin, le Règlement européen n°2016/979 sur la protection des données à caractère personnel (« RGPD ») et la loi n°78-17 dite loi « Informatique et Libertés » prévoit des règles dédiées aux violations de données et imposent des obligations aux personnes traitant de données personnelles.

1. Les règles en matière de violation de données

1.1 La définition juridique d’une violation de données

Il convient tout d’abord de rappeler ce qui distingue la violation de données d’une faille de sécurité : la violation de données est une faille de sécurité qui a la spécificité d’impacter des données personnelles.

Une violation de données est, selon la définition donnée à l’article 4 du RGPD, une violation de la sécurité qui entraîne, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

En résumé, il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

A titre d’exemples, la CNIL évoque les cas suivants :

·       Suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ;

·       Perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ;

·       Introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.

L’affaire récente de l’incendie d’un centre de données d’OVH est un autre exemple de violation de données. En effet, la CNIL a rappelé que la destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD qu’il convient de notifier à l’autorité de contrôle le cas échéant.

Ainsi, dès lors que la faille de sécurité détectée impacte des données personnelles, nous sommes en présence d’une violation de données au sens du RGPD et il convient à la personne traitant des données de se conformer aux obligations suivantes (1.2).

1.2 Le régime applicable en cas de violation de données

Obligation de double notification. Il existe tout d’abord une obligation de notification à l’autorité de contrôle, la CNIL. En vertu de l’article 33 du RGPD, le responsable du traitement doit notifier toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer de risque pour les droits et libertés des personnes physiques.

En second lieu, lorsque ce risque est élevé, l’article 34 du RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Critères d’appréciation du risque pour les droits et libertés des personnes concernées. La CNIL considère que la notification à la CNIL et la communication aux personnes n’est pas nécessaire si les conséquences restent limitées pour les personnes. Ainsi, il n’est pas nécessaire d'informer la CNIL :

-      Si la mise en œuvre d’un plan de reprise d’activité (« PRA ») ou d’un plan de continuité d’activité (« PCA ») a permis d’assurer la continuité du service ; ou

-      Si les données ont été restaurées à partir des sauvegardes, sans conséquence significative pour les personnes (par exemple, les conséquences sont limitées à l’impossibilité de passer une commande pendant quelques heures).

A l’inverse, la CNIL considère que la violation entraîne des risques pour les personnes concernées lorsque :

-      Les données personnelles ont été définitivement perdues ; ou

-      Les données sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes.

Sur qui pèse l’obligation ? Le RGPD distingue trois types d’acteurs du traitement : le responsable de traitement, le sous-traitant et les responsables conjoints du traitement.

De façon synthétique, ces acteurs sont présentés de la façon suivante :

L’obligation de notifier la violation de données à l’autorité de contrôle ou aux personnes concernées le cas échéant, est mise à la charge du responsable de traitement.

Le sous-traitant n’est, quant à lui, tenu qu’à une obligation d’avertir « dans les meilleurs délais » le responsable de traitement en cas de violation de données. Il convient de noter que le sous-traitant ne doit pas évaluer l’existence ou non du risque conséquent à la violation avant de la notifier au responsable du traitement : il appartient au responsable du traitement d’effectuer cette évaluation après avoir été informé de la violation. Le sous-traitant doit simplement établir si une violation s’est produite puis la notifier au responsable du traitement. La CNIL estime que le responsable du traitement est considéré comme ayant pris « connaissance » une fois que le sous-traitant l’a informé de la violation.

En présence de responsables conjoints, le G29 recommande que les accords entre les responsables conjoints du traitement comprennent des stipulations déterminant quel responsable du traitement prendra la direction ou sera responsable de l’obligation de notification des violations établie par le RGPD. En conséquence, l’identité du cocontractant sur lequel pèse l’obligation de notifier à l’autorité de contrôle et aux personnes concernées le cas échéant, doit être déterminée contractuellement.

Que doit-on déclarer ? La déclaration auprès de la CNIL doit contenir a minima les éléments suivants :

·     La nature de la violation ;

·       Les catégories et le nombre approximatif des personnes concernées ;

·       Les catégories et le nombre approximatif de fichiers concernés ;

·       Les conséquences probables de la violation ;

·       Les coordonnées de la personne à contacter (DPO ou autre) ;

·       Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Elle s’effectue en ligne sur le site de la CNIL : https://notifications.cnil.fr/notifications/index

Dans quel délai ? La notification doit intervenir dans les meilleurs délais et au plus tard 72h après que le responsable du traitement en ait pris connaissance.

En pratique, le point de départ du délai est le moment où le responsable du traitement dispose d’un degré de certitude raisonnable qu’un incident a eu lieu et a touché des données personnelles. La connaissance implique souvent de mener des investigations permettant d’atteindre un degré de certitude raisonnable. La CNIL considère que le temps de cette phase d’investigation, le responsable du traitement n’est pas considéré comme ayant connaissance de la violation.

Dans le cas où le responsable de traitement ne peut fournir toutes les informations dans le délai de 72 heures car des investigations complémentaires sont nécessaires, celui-ci a la possibilité d’effectuer une notification en deux temps : une notification initiale dans un délai de 72 heures (1) et une notification complémentaire une fois qu’il dispose des nouvelles informations nécessaires (2).

Quelles sont les sanctions en cas de non-respect ? Les sanctions sont de nature administrative, pénale ou civile.

Dans le cas où le(s) responsable(s) du traitement ne notifie(nt) pas une violation de données à l’autorité de contrôle et aux personnes concernées le cas échéant, alors que les conditions établies aux articles 33 et 34 sont remplies, l’autorité de contrôle pourra être amenée à prendre des mesures correctrices et/ou prononcer des sanctions.

Dans le cas où l’autorité prononce une sanction et que cette sanction est une amende administrative, celle-ci pourra s’élever jusqu’à 10 000 000 EUR ou jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’entreprise conformément à l’article 83, paragraphe 4, point a), du RGPD.

Il convient de préciser que dans certains cas, la non-notification d’une violation peut révéler une absence ou une insuffisance des mesures de sécurité existantes. Dans un tel cas, l’autorité de contrôle a la possibilité de prononcer des sanctions pour non-notification d’une violation de données conformément aux articles 33 et 34 d’une part, et pour absence de mesures de sécurité (adéquates) conformément à l’article 32 d’autre part, dès lors qu’il s’agit de deux violations distinctes ( G29, Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679, version du 3 octobre 2017 révisée le 6 février 2018).

Ainsi, par deux décisions du 7 décembre 2020 (délibération SAN-2020-014 et délibération SAN-2020-015), la CNIL a sanctionné deux médecins libéraux au motif que « le responsable de traitement doit, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du Règlement à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance de M. [...] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation. »

L’autorité de protection des données britannique a également sanctionné deux entreprises pour manquements à l’obligation de sécurité à la suite de violations de données ayant rendu accessibles à des tiers de très nombreuses données personnelles. Les amendes se sont élevées à 20 millions de livres sterling (environ 22 millions d’euros) pour British Airways et 18,4 millions de livres sterling (environ 20 millions d’euros) pour Marriott.

Par ailleurs, des sanctions pénales pourraient être prononcées si des faits caractérisant des manquements aux règles en matière de protection des données prévus aux articles 226-16 à 226-24 du Code pénal sont constatés.

Enfin, conformément aux principes de responsabilité civile, le RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Les étapes à suivre en cas de violation de données

2.1 Détection et gestion interne de la violation de données. Afin de prévenir toute faille de sécurité, le responsable du traitement ou son sous-traitant doit disposer de procédures internes afin d’être en mesure de détecter une violation et d’y remédier.

Par exemple, afin de détecter certaines irrégularités dans le traitement des données, un responsable du traitement ou un sous-traitant peut avoir recours à certaines mesures techniques telles que des analyseurs de flux de données et de journaux, qui permettront de définir des incidents et des alertes en établissant des corrélations entre des données journal (G29, Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679, version du 3 octobre 2017 révisée le 6 février 2018).

Il est important qu’une fois détectée, une violation soit communiquée au niveau de direction approprié afin qu’il soit possible d’y remédier et, le cas échéant, de la notifier conformément à l’article 33 et, si nécessaire, à l’article 34.

De telles mesures et de tels mécanismes de notification devraient être détaillés dans le plan de réaction aux incidents et/ou dans les accords de gouvernance. Ceux-ci aideront le responsable du traitement à planifier et à déterminer efficacement à qui incombe la responsabilité opérationnelle au sein de l’organisation concernant la gestion d’une violation, ainsi que, s’il est nécessaire, et comment, rapporter une violation de façon appropriée.

La CNIL recommande fortement que les organismes qui traitent des données personnelles (responsable du traitement ou sous-traitant) prévoient et mettent en place des procédures globales en matière de violation de données personnelles. Ces procédures doivent concerner l’ensemble du processus : la mise en place de mesures visant à détecter immédiatement une violation, à l’endiguer rapidement, à analyser les risques engendrés par l’incident et à déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées. Ces procédures participent ainsi à la documentation de la conformité au RGPD

2.2 Documenter en interne et tenir à jour le registre. L’article 33 du RGPD dispose que « Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Documenter une violation de données présente un double intérêt puisqu’elle permet de gérer en interne la violation de données (en déterminant et implémentant les moyens d’y remédier, par exemple en prévoyant une sauvegarde alternative des données) mais cela permet également de justifier de sa conformité auprès de l’autorité de contrôle.

L’autorité de contrôle peut en effet demander à consulter lesdits registres. Les responsables du traitement sont donc encouragés à établir un registre interne des violations, qu’ils soient tenus de les notifier ou non.

Notification aux autorités compétentes et aux personnes concernées. Si l’incident constitue un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNIL dans les meilleurs délais et au plus tard 72h après avoir pris connaissance de la violation.

En cas de risque élevé, vous devez également notifier les personnes concernées. SI vous avez un doute, il est recommandé de toujours notifier à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.

Enfin, il convient de préciser que si la violation notifiée fait suite à une cyberattaque, il est conseillé de déposer plainte au commissariat de police ou à la gendarmerie.      

En somme, les étapes à suivre en cas de violation de données peuvent être résumées de la façon suivante :

L’actualité démontre que les failles de sécurité, notamment celles d’origine malveillante, sont de plus en plus courantes (en 2020, 192 cyberattaques ont été répertoriées selon l’ANSII). Ainsi, toute personne, entreprise ou organisme public traitant de données personnelles doit être vigilant et prendre en considération ce risque dans l’exercice de son activité, et ainsi se conformer aux obligations prévues par la règlementation.

Toute l’équipe de La Robe Numérique se tient à votre disposition.

Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr

Par Caroline Demangeon, et Oriana Labruyère, Avocates, pour le blog La Robe Numérique