Supposons que votre entreprise soit victime d'une cyberattaque permettant à des hackers d’accéder à des données à caractère personnel de vos travailleurs ou supposons qu'un de vos collaborateurs perde une clé USB ou un PC portable contenant des données à caractère personnel des travailleurs... Dans ce cas, il s’agit clairement de violations des données à caractère personnel mais que devez-vous faire? L'avis du Groupe de travail article 29 (G 29) du 3 octobre 2017 donne plus d’indications quant à la procédure à suivre.

Le RGPD oblige les responsables du traitement à signaler une violation de données lorsqu'il existe un risque pour les droits et libertés de personnes physiques. Les sous-traitants de données à caractère personnel jouent également un rôle, car ils doivent signaler toute violation au responsable du traitement.

Une distinction doit être faite entre le signalement d’une violation des données à l'autorité de contrôle et le signalement de la violation aux personnes concernées.

Notification d’une violation des données à l’autorité de contrôle

Un responsable du traitement n'est pas obligé de signaler une violation des données lorsqu'il n'y a aucun risque pour les droits et libertés de personnes physiques. Ce risque n'existe que lorsque la perte de données entraîne, par exemple, un vol d'identité ou une fraude, une perte financière ou une atteinte à la réputation.

Lorsqu'il existe un tel risque, le responsable du traitement doit signaler la violation à l'autorité de contrôle dans les meilleurs délais, et (si possible) dans les 72 heures au plus tard après en avoir pris connaissance. Si cela ne peut pas être fait dans les 72 heures, la notification doit également inclure les raisons du retard.

72 heures après la “prise de connaissance”

Selon le G 29, un responsable du traitement a «pris connaissance d’une violation» lorsqu’il a une certitude raisonnable qu’il y a eu un incident de sécurité impliquant des données à caractère personnel. Cela variera au cas par cas mais si un incident a lieu, il est important de vérifier immédiatement si des données à caractère personnel ont été violées et, dans l'affirmative, de prendre des mesures et de signaler la violation si nécessaire.

Pour une telle enquête, le responsable du traitement doit disposer de procédures internes qui lui permettent de détecter la violation et de la solutionner. En outre, le responsable du traitement doit documenter toutes les violations.

Quand un Data Protection Officer (DPO, ou délégué à la protection des données) a été désigné, le DPO est dans ce cadre la personne de contact pour l’autorité de contrôle et les personnes concernées.

Si la violation des données présente un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit également communiquer la violation aux personnes concernées. Les responsables du traitement peuvent consulter l'autorité de contrôle pour savoir si les personnes concernées doivent, ou non, en être informées.

Notification de la violation des données à caractère personnel aux personnes concernées dans les meilleurs délais

Le responsable du traitement doit informer dans les meilleurs délais la personne concernée de la violation des données, lorsque cette violation comporte un risque élevé pour les droits et libertés individuels. Pour évaluer cela, le responsable du traitement doit prendre en compte les circonstances concrètes. Par exemple, lorsque des données médicales se trouvent dans les mains de personnes n’ayant pas la qualité pour y avoir accès, le risque pour les droits et libertés de la personne concernée est plus important que si les données médicales ont simplement été perdues.

S'il existe un risque élevé pour les droits et libertés de la personne concernée, la violation doit être signalée à la personne concernée. La notification doit indiquer aussi bien la nature de la violation que des recommandations sur la manière dont la personne concernée peut limiter les conséquences négatives potentielles (par exemple, en changeant le mot de passe individuel).

En principe, les personnes concernées doivent être informées individuellement, à moins que cela ne soit disproportionné. Dans ce cas, les personnes concernées peuvent être informées au moyen d'un message général, par exemple par une mention sur le site web, une newsletter ou un e-mail général. Le plus important est que le maximum de personnes concernées soit atteint et que la communication soit rédigée dans une langue compréhensible pour la personne concernée.

Amende administrative

Si une violation n’est pas communiquée (à l’autorité de contrôle ou aux personnes concernées), cela peut entrainer jusqu’à une amende administrative de 10.000.000 EUR ou 2% du chiffre d’affaire annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

> Point d’action

Élaborez un plan pour détecter et contrôler les violations de données, évaluer les risques pour les personnes physiques et signaler la violation aux personnes concernées si nécessaire. La notification à l'autorité de contrôle doit également faire partie de ce plan.

Préparation

Elaborez un plan d’action pour:

• pouvoir détecter et contrôler les violations des données;
• pouvoir évaluer le risque pour les personnes concernées;
• pouvoir signaler la violation à l’autorité de contrôle et aux personnes concernées si nécessaire.

Vous constatez un incident de sécurité, ou vous en êtes informé et prenez connaissance de la violation des données à caractère personnel

Etape 1: vérifiez qu’il n’existe pas un risque pour les droits et libertés des personnes concernées (vol d’identité ou fraude, atteinte à la réputation...)

• Non? Vous ne devez pas en informer l’autorité de contrôle/les personnes concernées
• Oui? Vous devez en informer l’autorité de contrôle dans les 72 heures après la prise de connaissance

Etape 2: vérifiez que la violation ne présente pas un risque élevé pour les droits et libertés des personnes concernées

• Non? Vous ne devez pas signaler la violation aux personnes concernées
• Oui? Vous devez signaler la violation aux personnes concernées et les informer des mesures qu’elles peuvent prendre afin de limiter le dommage.

Etape 3: documentez toutes les violations des données (en ce compris les faits, les conséquences et les mesures correctrices qui ont été prises).