Bref rappel des réflexes à avoir lors de la constatation d’une violation de données à caractère personnel
Rappelons qu’une violation de données personnelles est définie par le règlement général sur la protection des données [1](RGPD) comme étant « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.».
L’article 33.1 du RGPD prévoit que cette violation de données doit être notifiée par le responsable du traitement à l’autorité de contrôle compétente, à savoir la Commission Nationale de l’Informatique et des Libertés en France (la CNIL), et ce « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. ».
Etant précisé que cette notification doit :
«a)décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
b)communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c)décrire les conséquences probables de la violation de données à caractère personnel;
d)décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. »
Ces informations peuvent être communiquées de manière échelonnée.[2]
Enfin, le responsable du traitement « documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. »[3]
A retenir
Le responsable de traitement doit :
- Notifier la violation de données personnelles à l’autorité de contrôle compétence (CNIL), dans les meilleurs délais après avoir appris l’existence de la violation, si possible 72 heures au plus tard ;
- Tenir un registre des violations de données personnelles (nature de la violation, volume de personnes concernées, catégories de données impliquées, conséquences de la violation, mesures prises pour y remédier).
Qu’en est-il du délai de prévenance d’un sous-traitant à un responsable de traitement ?
Ce délai n’est pas expressément fixé par le RGPD, il est seulement indiqué que le sous-traitant doit notifier « au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. »[4]. Ce délai résulte donc souvent d’une négociation contractuelle.
La CNIL n’a pas non plus inséré de délai dans son modèle de clause de sous-traitance[5].
Les Lignes directrice du G29[6] sur la notification des violations de données sont claires sur le fait que le sous-traitant doit informer le responsable de traitement le plus rapidement possible : « L’article 33, paragraphe 2, indique clairement que si un responsable du traitement a recours à un sous-traitant et que celui-ci prend connaissance d’une violation des données à caractère personnel qu’il traite au nom du responsable du traitement, il doit la lui notifier «dans les meilleurs délais». Il convient de noter que le sous-traitant ne doit pas évaluer la probabilité qu’un risque découle d’une violation avant de la notifier au responsable du traitement; il appartient au responsable du traitement d’effectuer cette évaluation après avoir pris connaissance de la violation. Le sous-traitant doit simplement établir si une violation s’est produite puis la notifier au responsable du traitement. ».
Selon le G29 : « Le RGPD ne définit pas de délai spécifique dans lequel le sous-traitant doit alerter le responsable du traitement, si ce n’est qu’il doit le faire «dans les meilleurs délais». Aussi le G29 recommande-t-il au sous-traitant de notifier rapidement la violation en question au responsable du traitement et de lui fournir des informations complémentaires à ce sujet au fur et à mesure que des détails supplémentaires se font jour. Cette communication est essentielle afin d’aider le responsable du traitement à satisfaire à son obligation de notifier la violation à l’autorité de contrôle dans les 72 heures.«
Néanmoins, la Commission, Européenne a publié en novembre 2020 un projet de clauses types de sous-traitance[7] :
Il est indiqué dans ce projet, non obligatoire: « In the event of a personal data breach concerning data processed by the data processor, it shall notify the data controller without undue delay and at the latest within 48h after having become aware of the breach. Such notification shall contain the details of a contact point where more information concerning the personal data breach can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and data records concerned), its likely consequences and the measures taken or proposed to be taken to mitigate its possible adverse effects. Where, and insofar as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall be provided as it becomes available without undue delay.«
Préconisations :
Il semblerait opportun de maintenir un délai de prévenance de 48h dans les contrats de sous-traitance, délai dans lequel le sous-traitant doit aussi fournir une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données concernés), ses conséquences probables et les mesures prises ou proposées pour en atténuer les effets négatifs éventuels.
Charlotte GALICHET
Amelle SALKA
[1] Article 4.12 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[2] Article 33.4 du RGPD
[3] Article 33.5 du RGPD
[4] Article 33.2 du RGPD
[5] Communication de la CNIL 4 octobre 2017 « Sous-traitance : Exemple de clauses ».
[6] Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 version révisée et adoptée le 6 février 2018.
[7] Annex to the commission implementing decision on standard contractual clauses between controllers and processors under Article 28 (7) GDPR and Article 29(7) of Regulation (EU) 2018/172.