Violations de données : pour ne pas subir
Un responsable de traitement ne peut plus détourner les yeux en cas d’incident de sécurité impactant les données personnelles qu’il traite et doit – dans certaines circonstances – notifier la violation de données à la CNIL, voire la communiquer aux «victimes».
Il s’agit pour les entreprises d’un véritable changement de paradigme et de multiples questions se posent :
Quelles mesures prendre en amont pour éviter d’avoir à notifier une violation de données ?
Comment détecter tous les incidents susceptibles d’être qualifiés de «violation»? Et qui réalise cette qualification ?
À partir de quand démarrent les «72 heures» attendues par la CNIL pour réaliser la notification auprès d’elle ?
Au final, qui prend la décision de notifier ?
Comment décider s’il faut en plus communiquer la violation aux personnes concernées? Et que leur dire ? Faut-il leur donner des précisions sur l’incident lui-même? Faut-il s’excuser? Et qui signe le courrier ?
Faut-il craindre un contrôle de la CNIL à la suite d’une notification, voire une action de groupe de la part des «victimes» ?
Que faut-il imposer aux sous-traitants à ce sujet ? Le modèle de clause contractuelle proposé par l’autorité de contrôle est-il suffisant ? Combien de temps maximum doit-on laisser à ses sous-traitants pour nous signaler un incident ?
Quel lien entre violation de données, analyse d’impact et Privacy by Design ?
Comment tirer des enseignements utiles des violations pour en faire un levier de progrès ?
Quel rôle doit jouer le DPO: simple spectateur, pilote et leader, voire réalisateur ?
Autant de questions cruciales auxquelles Bruno RASLE, expert reconnu de longue date et ancien DPO mutualisé de l’une des branches de la Sécurité sociale (plus d’une centaine de violations de données à son actif), répond lors d’une journée durant laquelle les aspects opérationnels sont privilégiés.
À l’issue d’une session très interactive, avec l’intense participation des apprenants (études et travaux sur des cas concrets – dont certains de ceux signalés au préalable par les participants –, mises en situation, travail en groupes, réponses aux questions, …), les participants repartent forts de toutes les connaissances leur permettant de maîtriser le sujet. De plus, l’intervenant partage des documents opérationnels qu’il a forgés dans le cadre de sa pratique professionnelle (voir en bas de page Que contient la base documentaire qui me sera communiquée à l'issue de la formation ?).
«La question n’est pas «Allons-nous connaître des violations de données ?» mais «Quand allons-nous connaître des violations de données et devoir les notifier à la CNIL ?». Je recommande à mes confrères DPO de positiver et de prendre ce sujet à bras le corps pour en faire un levier de progrès». Bruno RASLE, intervenant.
Je télécharge le programme détaillé
Objectifs généraux de la formation
Au-delà de la théorie, permettre aux DPO (internes, externes) et aux futurs DPO (ainsi qu'à leurs collaborateurs) de disposer de tous les éléments pour se forger leur propre méthode de gestion des violations de données au titre des articles 33 et 34 du RGPD, afin :
De préparer son organisation à cette éventualité ;
Maîtriser la gestion d’une violation de données ;
D’identifier les difficultés, les pièges, les freins ;
D’identifier son articulation avec le Privacy by Design et les analyses d’impact ;
De se forger sa propre doctrine, dans le respect du cadre imposé ;
D’en faire un levier au service du DPO et un axe de progrès.
Cette journée permet aussi à toute personne prenant part à la gestion d’une violation de données d'optimiser ses apports (RSSI, Risk Manager, membre d’une cellule de crise, …).
En savoir plus ...
Testez vos connaissances : le Quiz
La présentation et l'interview du formateur, Bruno RASLE
Plus d'information sur cette formation
Prochaine session
La prochaine session aura lieu le 30 octobre.
Les autres formations par Bruno RASLE
Réaliser une analyse d’impact (AIPD) • De la théorie à la pratique
Être un DPO efficace dès les premiers jours • Réussir sa prise de poste
Contrôle de la CNIL • S’y préparer, le gérer, y survivre
L’informatique appliquée au RGPD ; cette journée est également proposée dans le cadre de notre parcours de préparation à la certification
Team building autour du DPO (une journée de formation en « intra » -dans vos locaux-, adaptée à votre contexte et à vos souhaits)
Que contient la base documentaire qui me sera communiquée à l'issue de la formation ?
Quiz corrigé et commenté
Quarante-deux questions concernant les violations de données personnelles trouvent des réponses détaillées dans ce document.
À titre d'exemple, savez-vous si, en Europe, un responsable de traitement européen a déjà été condamné à dédommager une ou des « victimes » d’une violation de données ?Exemple de procédure de gestion des violations de données
Il est de la responsabilité de tout Délégué à la Protection des Données de préparer son responsable de traitement à devoir notifier une violation de données à la CNIL et, éventuellement, de la communiquer aux personnes concernées. La procédure doit être connue et comprise de tous, car chaque salarié peut se retrouver « acteur » dans le cadre de cette procédure – principalement pour éviter que ne survienne les violations de données et pour les signaler si elles se produisent.
Proposition d'amélioration des clauses RGPD de sous-traitance (art. 28 du RGPD)
L’article 33.2 du RGPD dispose que « Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance ». Cette formulation est malheureuse, car elle reconnait au sous-traitant le pouvoir de décider si l’incident qui a frappé les données personnelles qu’il traite pour le compte du responsable de traitement est (ou n’est pas) une violation de données. Ce document vous propose plusieurs améliorations pour pallier quelques inconvénients.
Courriel retourné par la CNIL à la suite d'une notification de violation de données
Très rapidement après la notification de la violation de données personnelles, le système d’information de la CNIL retourne à la personne qui a indiqué ses coordonnées dans le téléservice un courriel valant accusé de réception.
Analyse comparée de quelques formulaires européens de notification de violation de données
Il est frappant de noter que chaque autorité de contrôle européenne propose sa propre procédure pour permettre aux responsables de traitement de notifier des violations de données. Il est question que les autorités, au sein du CEPD, s’entendent pour mettre fin à ces différences et définir une démarche unique.
Dans cette attente, il est utile de prendre connaissance des formulaires proposés par d’autres États membres, et plus particulièrement des différences par rapport à l’approche française, ce qui pourrait donner une idée de la future démarche commune européenne.Description intégrale du téléservice de notification de violation de données de la CNIL
Au titre de l’article 33 du RGPD, les responsables de traitement doivent notifier à la CNIL – si possible sous 72 heures – certaines violations de données (et éventuellement communiquer auprès des personnes concernées).
Il s’agit sans conteste d’une démarche délicate et qui peut avoir des conséquences notables pour les responsables de traitement.
Dans sa version actuelle, le téléservice de la CNIL ne dispose pas d’une mise en instance. Il n’est donc pas possible de préparer sa notification, d’en sauvegarder un brouillon afin d’y revenir et de la valider.
Nous décrivons donc ici la transcription du téléservice afin de vous permettre de préparer sereinement votre notification « off line ».Exemples de messages destinés à communiquer une violation de données aux personnes concernées
L’article 34.1 du RGPD dispose que « Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».
Mais quel doit être le contenu de cette communication ?
Faut-il s’en tenir aux seules informations listées dans le RGPD ?
Faut-il s’excuser ?
Qui signe le courrier ?
N’est-il pas dangereux de fournir trop de précisions en cas de cyberattaque ?
Certains éléments de la communication pourraient-ils être utilisés à charge en cas d’action de groupe ?
Documentation des violations de données personnelles
L’article 33.5 du RGPD dispose que « Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article. ».
Mais quelle doivent être la structure et le contenu de cette documentation (que la CNIL désigne sous le vocable de "Registre des violations de données" ? Ce document propose également un exemple de document soumis par le DPO à la décision du responsable de traitement.Plan d'action après violation de données personnelles
Comme il est utile d’établir un bilan des actions du DPO, il peut être pertinent de formaliser un bilan des violations de données personnelles. Ce bilan des violations des données est basé sur la documentation tenue au titre de l’article 33.5 du RGPD. Il participe de l’effort d’Accountability du responsable de traitement et peut, naturellement, être fourni sur demande à l’autorité de contrôle.
Le document décrit également des actions qui peuvent être réalisées pour prévenir ou traiter les violations de données personnelles.La base de connaissance est complétée de documents sélectionnés par l'intervenant pour leur pertinence et leurs apports.
Quel est le lien entre les notifications de violations de données personnelles et NIS2 ?
La directive NIS 2 («Network and Informa/on Security») vise à harmoniser et à renforcer la cybersécurité du marché européen. En France, de nombreuses entreprises et d’administrations seront soumises à cette nouvelle règlementation et certaines d'entre elles devront signaler leurs incidents de sécurité à l’ANSSI.
NIS 2 entrera en vigueur en France au deuxième semestre 2024 au plus tard.
Certaines exigences seront d’application directe et d’autres devraient être soumises à un délai de mise en conformité (pour la mise en application). Comme elle l'a fait par le passé concernant les convergences et les différences entre la notification d'une violation de données personnelles auprès d'elle et la notification d'un incident impactant des données de santé à une ARS, la CNIL étudiera le texte final et les modalités d'application pour émettre des recommandations. Elle fera de même en temps utile pour le règlement européen DORA(« Digital Operational Resilience Act») qui pour objectif d’améliorer la résilience opérationnelle informatique des acteurs des services financiers.
Doit-on notifier une violation en cas de perte d'une clé USB ou d'un PC portable contenant des données personnelles ?
Si la clé USB ou l'ordinateur était chiffré en respect de l'état de l'art et qu'il a été vérifié que la clé de chiffrement n'a pas été compromise ou a très peu de risque de l'avoir été (le « secret » qui permet le déchiffrement doit être très résistant), cela n’est pas nécessaire. En cas de doute, il vaut mieux toutefois notifier.
Attention : en revanche, cette violation doit toujours être documentée.
La violation de données ne concerne qu'une seule personne. Devons-nous la notifier ?
Le RGPD n'indique aucun « seuil » minimum et même si une seule personne est concernée par la violation, elle a droit elle aussi à la protection de ses données et de sa vie privée.
Si la violation est susceptible de faire peser un risque sur cette personne, la violation doit être notifiée à la CNIL.
La violation de données porte sur un traitement conjoint : les responsables conjoints doivent-ils notifier séparément la violation ?
Cela doit avoir été prévu dans le document évoqué dans l’article 26 du RGPD dans lequel ils «définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement».
Naturellement, une excellente communication doit être instaurée entre les responsables conjoints de traitement et ceux d’entre eux qui n’ont pas procédé à la notification auprès de la Commission peuvent parfaitement être sollicités par elle.
Une perte de disponibilité est-elle systématiquement une violation de données personnelles ?
Non. Pour devoir l'être, il faut qu'elle ait un impact pour les personnes concernées. À titre d'exemple, une interruption prévue et de faible durée afin d'opérer une action de maintenance ne correspond pas à une violation de données. En revanche, l'impossibilité pour une équipe de soin d'accéder au dossier d'un patient sur le point d'être opéré (ou en train de l'être) constitue sans conteste une violation de données.
À partir de quand commencent les « 72 heures si possible » dont disposent les responsables de traitement pour notifier certaines violations de données à la CNIL ?
Une fois qu'il en a pris connaissance, le responsable de traitement dispose d'une période d'investigations courte et efficace afin de disposer d'un degré de certitude raisonnable de l'existence de la violation. La gouvernance en place au sein des responsables de traitement est donc primordiale pour réduire le temps entre la prise de connaissance de la violation et sa notification à la CNIL.
Les données violées étaient déjà̀ rendues publiques : devons-nous notifier la violation à la CNIL ?
Dans son webinaire dispensé le 22 juin 2022, les agents de la Commission ont indiqué que c'était un cas d'exonération, le risque pour les personnes étant absent.
Attention : en revanche, cette violation doit être documentée. De plus, cela n'empêche pas de réaliser une analyse de l'incident afin qu'il ne se reproduise pas.
Une notification de violation de données personnelles peut-elle déclencher un contrôle de la CNIL ?
Cela est déjà̀ arrivé, dans des situations où la Commission a perçu un contexte de sensibilité accrue (présence de données dites sensibles, très grand nombre de personnes concernées, …).
Sous l'égide de son DPO, le responsable de traitement doit se préparer à cette éventualité.