Alors que les fuites de données ont régulièrement été placées sur le devant de la scène médiatique, à l’instar des Twitch leaks en octobre 2021, ou du piratage de l’Assistance publique-Hôpitaux ayant touché des données de santé de plus de 1,4 millions de français, il semble opportun de revenir sur ce qu’est une violation de données personnelles et sur les obligations et procédures que les organismes, responsables de traitement au sens du Règlement sur la protection des données (RGPD), doivent respecter face à une telle éventualité.
La violation de données : une notion dépassant le seul champ des cyberattaques
S’il semble relever du truisme que de dire que les cyberattaques, largement mises en avant du fait notamment de la pandémie de COVID-19, sont des violations de données, le sens donné par le RGPD à la notion dépasse amplement ce seul phénomène. En effet, la violation de données (que l’on entendra ici comme la violation de données à caractère personnel) vise, en vertu de l’article 4 du texte “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données”. Il s’agit donc de tout événement, y compris accidentel, qui aura un impact sur la confidentialité, la disponibilité ou l’intégrité de données personnelles. Il peut ainsi tout aussi bien s’agir d’une attaque informatique que de la perte d’une clef USB contenant des données personnelles.
Partant, le Responsable de traitement qui subit une telle violation quant aux données qu’il traite devra respecter les dispositions du RGPD en la matière, parmi lesquelles figurent la notification de la violation de données à la Commission nationale de l’informatique et des libertés (CNIL) ou, dans certains cas, aux personnes concernées.
Le responsable de traitement et la violation de données : l’obligation de notification
Pour ce qui regarde la notification de la violation de données, à la CNIL ou aux personnes concernées, il convient avant toute chose de dire que celle-ci n’est pas systématique. Ce n’est pas car il y a violation de données qu’il y a notification.
Le principe est posé à l’article 33 du RGPD : la violation de données donne lieu à une notification de celle-ci à l’autorité de contrôle (la CNIL en France) à moins que “la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques”. En d’autres termes, le responsable de traitement pourra décider de ne pas notifier la violation à l’autorité de contrôle s’il estime que celle-ci n’engendre pas de risque pour les droits et libertés des personnes; cela n’aura cependant pas pour effet de décharger le responsable de traitement des autres obligations qui découlent de la survenance d’une violation de données.
Afin d’apprécier s’il convient de notifier à la CNIL ou non, le responsable de traitement doit tenter de déterminer si la violation est susceptible d’engendrer un “risque pour les droits et libertés des personnes physiques” : il pourra ici s’aider des critères, notamment posés par le G29 dans ses lignes directrices du 6 février 2018. L’on retrouve ainsi le “Le type de violation” (violation de la confidentialité, de la disponibilité ou de l’intégrité), la “nature, le caractère sensible et le volume des données à caractère personnel” (il va de soi qu’une violation ayant pour objet des données de santé peut avoir des conséquences bien plus importantes qu’une violation portant sur les seuls nom et prénom de la personne concernée par exemple), ou encore “la facilité d’identification des personnes concernées”, bien évidemment“la gravité des conséquences pour les personnes concernées”, ainsi que “les caractéristiques particulières des personnes concernées” (mineurs, personnes vulnérables notamment), “les caractéristiques particulières du responsable du traitement”, et enfin “le nombre de personnes concernées”.
De toute évidence, il est quantité d’hypothèses pour lesquelles l’appréciation du risque sera aisé : une violation de données de santé de plusieurs milliers de patients donnera nécessairement lieu à une notification à la CNIL par exemple; il est toutefois d’autres hypothèses pour lesquelles l’appréciation du risque sera plus ardue et le choix ou non de notifier devra être pris soigneusement, en tenant compte notamment des sanctions qui pourront être prises par la CNIL lorsqu’il n’y aurait pas de notification.
En pratique, la notification d’une violation de données à la CNIL doit avoir lieu dans les 72 heures suivant la prise de connaissance de la violation par le responsable de traitement. Si tel n’était pas le cas, l’article 33 du RGPD prévoit que le responsable de traitement devra motiver son retard. Ce délai restreint l’est d’autant plus qu’il ne prévoit pas la prise en compte de jours ouvrés ou autres modalités de computation des délais : dès le moment où il a connaissance de la violation, le responsable de traitement a 72 heures pour la notifier (s’il estime qu’il doit procéder à la notification), ce y compris si il en prend connaissance un vendredi soir.
Pour ce qui est de la notification en elle-même, elle se déroule sur une page dédiée du site internet de la CNIL (lien externe 6). Le contenu minimal de la notification à l’autorité de contrôle est fixé par les textes, il s’agit notamment de faire état de “la nature de la violation”, des “catégories et le nombre approximatif des personnes concernées” des “conséquences probables de la violation” “des coordonnées de la personne à contacter”(DPO ou autre) “des mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation” (entre autres choses).
Par ailleurs, l’article 34 du RGPD prévoit les modalités de notification d’une violation de données aux personnes concernées (cela étant, le texte vise la “communication” plutôt que la notification). Cette communication, ou notification doit quant à elle avoir lieu lorsque la violation présente cette fois “un risque élevé pour les droits et libertés d’une personne physique”. Il appartiendra également au responsable de traitement d’apprécier ce risque élevé.
La communication aux personnes concernées pourra prendre différentes formes et devra avoir lieu dans “les meilleurs délais”. Elle devra avant toute chose décrire “en des termes clairs et simples, la nature de la violation de données à caractère personnel “ et reprendre certains points de la notification à l’autorité de contrôle. Le texte prévoit des cas dans lesquels le responsable de traitement peut s’abstenir de communiquer la violation aux personnes concernées, parmi lesquels on retrouve exemple l’hypothèse dans laquelle “elle exigerait des efforts disproportionnés” il sera alors “plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace” tel que l’affichage d’une mention d’information sur un site internet par exemple.
Pour résumer, il est procédé à une notification à la CNIL et aux personnes concernées lorsque la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées. Il n’est procédé qu’à une notification à la CNIL lorsque cette violation est susceptible d’entraîner un simple risque sur ces droits et libertés et, enfin il n’est procédé à aucune notification lorsque ce risque n’existe pas (ce qui n’exonère pas le responsable de traitement de son obligation de documenter la violation de données dans un registre de violation de données; il faudra alors également penser à motiver les raisons pour lesquelles aucune notification n’a eu lieu).
Si d’aventure le responsable de traitement décide de ne pas notifier une violation de données alors qu’il était tenu de le faire, il s’expose aux désormais très connues sanctions administratives prévues par le RGPD et la loi Informatique et libertés (jusque 4% du chiffre d’affaires mondial ou 20 millions d’euros ou d’autres sanctions extra pécuniaires telles que le rappel à l’ordre). Il s’expose également à des sanctions pénales, prévues à l’article 226-17-1 du Code pénal, qui punit d’une peine de cinq ans d’emprisonnement et de 300 000 € d’amende le “fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d’une violation de données à caractère personnel à la [CNIL] ou à l’intéressé, en méconnaissance des [textes du RGPD et de la loi informatiques et libertés]”
A titre d’exemple, la CNIL a sanctionné un établissement de paiement à 180 000 euros d’amende pour n’avoir pas, entre autres manquements, communiquer une violation de données aux personnes concernés.
Enfin, si le rôle du responsable de traitement est prépondérant dès lors que l’on traite des violations de données, il ne faut pas oublier celui du sous-traitant : s’il ne lui appartient pas de notifier à la CNIL ou de communiquer aux personnes concernées, la CNIL estime qu’il est possible que le responsable de traitement le charge de procéder à la notification à sa place (cela pouvant par exemple être prévu par le contrat encadrant les relations entre le sous-traitant et le responsable de traitement). Le RGPD prévoit par ailleurs que le sous-traitant est tenu de notifier au responsable de traitement les violations de données dans les meilleurs délais, ce dès lors qu’il en a connaissance. Le manquement à cette obligation peut donner lieu à des sanctions administratives et pénales.
Ainsi, la notification d’une violation de données à l’autorité de contrôle ou aux personnes concernées constitue l’un des versants de la conformité au RGPD à ne pas négliger : s’il ne se distingue pas particulièrement par sa technicité ou sa complexité, il convient de prendre en compte les lignes directrices du G29 (devenu désormais CEPD), les considérants et les articles du RGPD sur le sujet mais aussi la multitude de ressources mises en ligne par la CNIL sur son site internet afin d’accompagner les responsables de traitement dans ces notifications. Enfin, l’on notera, à titre d’illustration, que la CNIL indique dans son 41e rapport d’activité avoir reçu 2825 notifications de violation de données pour l’année 2020, un nombre “record” qui ne manquera pas, sans nul doute, d’augmenter dans les années à venir.