RGPD : Notification des fuites de données

Le Règlement général sur la protection des données ou RGPD impose aux responsables du traitement de notifier toute fuite de données à l'autorité de contrôle compétente ainsi que, dans certains cas, aux personnes concernées par la fuite.

Une fuite de données est appelée, dans le RGPD, une violation de données à caractère personnel  et est définie comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données (art.?4, 12) RGPD).

En voici quelques exemples :

la perte ou le vol d?une clé USB contenant une copie de la base de données des clients?;

le cryptage de données à caractère personnel par un rançongiciel (et il n?en existe aucune copie)?;

le cryptage de données à caractère personnel par le responsable du traitement, mais ce dernier a perdu la clé et est donc dans l?incapacité de les décrypter.

Les responsables du traitement sont tenus de notifier toute fuite de données à l?autorité de contrôle, à moins que la violation en question ne soit pas susceptible d?engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la fuite de données à caractère personnel est susceptible d?engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement est également tenu de communiquer la fuite de données à caractère personnel à la personne concernée dans les meilleurs délais (art.?33 et 34 RGPD).

La non-notification d'une fuite de données peut donner lieu à une sanction.

Le signalement d'une fuite de données est une obligation qui incombe au responsable du traitement, mais le sous-traitant doit lui prêter son assistance dans le respect de cette obligation. Il doit informer le responsable du traitement dans les meilleurs délais dès qu'il a pris connaissance de la fuite de données.

Notification d'une fuite de données à l'autorité de contrôle

L?article 33 du RGPD exige du responsable du traitement qu'il notifie la fuite de données à l'autorité de contrôle 72?heures au plus tard après en avoir pris connaissance. En Belgique, il s'agit de l'Autorité de Protection des Données (APD), l'ancienne Commission de vie privée.

En voici quelques exemples de prise de connaissance :

le responsable du traitement constate la perte d?une clé USB contenant des données à caractère personnel?;

une tierce partie informe le responsable du traitement qu?elle a reçu par erreur les données à caractère personnel d?un client du responsable du traitement?;

un responsable du traitement constate que quelqu?un s?est introduit dans le réseau et qu?il a été porté atteinte à des données à caractère personnel?;

un cybercriminel contacte le responsable du traitement pour demander une rançon après avoir hacké son système et, après contrôle, le responsable du traitement confirme la fuite.

Lorsque le responsable du traitement est informé d'une fuite de données potentielle, il dispose d'une courte période pour examiner la situation. Au cours de cette courte période, le responsable du traitement est réputé ne pas encore avoir pris connaissance de la violation. Cet examen doit néanmoins être effectué le plus rapidement possible et doit constater avec un degré de certitude suffisant s'il y a ou non eu une fuite de données. Un examen plus détaillé pourra suivre ultérieurement.

Le responsable du traitement dispose ensuite de 72 heures pour signaler la fuite de données. Pendant ces 72 heures, le responsable du traitement doit évaluer si la fuite de données recèle un risque potentiel pour les droits et libertés de personnes physiques.

Les informations suivantes doivent être fournies à l'autorité de contrôle en cas de signalement d'une fuite de données :

la nature de la fuite de données ;

les catégories d?intéressés (clients, travailleurs, enfants, patients, etc.)?;

les catégories de données à caractère personnel (données financières, données sur la santé, coordonnées, etc.)?;

le nombre (approximatif) de personnes concernées et de données à caractère personnel?;

le nom et les coordonnées de l?agent de protection des données (ou de tout autre point de contact si aucun agent de protection des données n?a été engagé)?;

les conséquences probables de la fuite de données?;

les mesures déjà prises ou proposées par le responsable du traitement.

Si la fuite de données n'a pas été notifiée dans un délai de 72 heures, le responsable du traitement est tenu de motiver ce retard. Il n'entraîne pas nécessairement une sanction.

Comme dit plus haut, la notification d'une fuite de données n'est pas obligatoire lorsque la fuite de données ne présente probablement pas un risque pour les droits et libertés de personnes physiques. Tel sera par exemple le cas lorsqu'il s'agit de données qui appartiennent déjà au domaine public ou de données qui sont suffisamment cryptées et que le responsable du traitement dispose d'un backup de ces données.

Notification d'une fuite de données à l'intéressé(e)

Une fuite de données doit également être notifiée aux personnes concernées lorsqu'elle est susceptible d'engendrer un risque élevé pour leurs droits et libertés de personnes physiques (art.?34 RGDP).

Dans ce cas, la fuite de données doit être notifiée le plus rapidement possible, et ce afin de permettre aux personnes concernées de prendre elles-mêmes les mesures requises pour limiter les risques probables.

Cette notification doit comporter les éléments suivants :

la description de la fuite de données ;

le nom et les coordonnées de l?agent de protection des données (ou de tout autre point de contact)?;

les conséquences probables ; et

les mesures prises ou proposées par le responsable du traitement.

Le responsable du traitement peut inclure des informations additionnelles, comme la proposition de mesures que les intéressés peuvent prendre eux-mêmes et l'avis éventuel de l'autorité de contrôle.

Toute communication concernant la fuite de données doit être envoyée séparément et ne peut faire partie d'une autre communication (par exemple newsletters, mises à jour, etc.).

Le responsable du traitement n'est pas tenu de signaler la fuite de données aux intéressés :

lorsqu?il a mis en ?uvre les mesures de protection techniques et organisationnelles appropriées concernant les données à caractère personnel affectées par la fuite de données en question (par exemple un cryptage)?;

lorsqu?il a pris des mesures ultérieures visant à neutraliser le risque élevé ;

lorsque le signalement exigerait des efforts disproportionnés, auquel cas une communication publique ou une mesure similaire suffit (par exemple, dans le cas où un grand magasin, qui tient à jour un fichier clients sur papier, est confronté à une inondation qui le détruit entièrement).

Les responsables du traitement visés dans les scénarios susmentionnés sont en revanche soumis à une obligation de preuve à l'égard de l'autorité de contrôle et doivent réévaluer en permanence la situation. Avec le temps, il est en effet possible que la condition ne soit plus applicable et qu'une notification soit malgré tout nécessaire.

L'autorité de contrôle peut décider, après en avoir délibéré, que le responsable du traitement doit malgré tout notifier la fuite de données aux intéressés. Elle pourra infliger des sanctions au responsable du traitement si elle estime que sa décision de ne pas informer les intéressés n'est pas justifiée.

Responsabilité et registre

Les responsables du traitement sont tenus de documenter leurs fuites de données, même les fuites de données qu'ils n'ont pas signalées. L'autorité de contrôle peut demander cette documentation. Il est vivement conseillé de tenir à jour un registre interne des fuites de données. Il ne doit pas nécessairement s'agir d'un registre individuel. Les fuites de données peuvent être consignées dans le registre général des activités de traitement (voir art.?30 RGPD).

Le responsable du traitement est tenu de documenter les faits concernant la fuite de données, ses conséquences et les mesures correctives qui ont été prises.
L'absence de documentation ou une documentation insuffisante d'une fuite de donnée peut entraîner des sanctions.

Source: Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119 du 4 mai 2016.