Violation de données

LES VIOLATIONS DE DONNEES – BILAN ET RECOMMANDATIONS

Définies comme « une violation de la sécurité, entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données », les violations de données sont encadrées par le RGPD.

A ce titre, dès lors qu’elles sont susceptibles d’entrainer un risque pour les personnes concernées, elles doivent être notifiées à la CNIL, si possible, dans un délai de 72 heures à compter de leur connaissance par l’organisme. Une communication aux personnes concernées est également obligatoire si la violation entraine un risque élevé pour les personnes concernées.

  • Sur ce point, le Comité européen de la protection des données (CEPD) renvoie à ses lignes directrices sur l’analyse d’impact pour qualifier le risque important. Pour rappel, l’évaluation du  risque important est à l’égard des personnes concernées et non pour le responsable de traitement.

La CNIL dresse un bilan des notifications de violations de données intervenues depuis l’entrée en application du RGPD, il y a cinq ans. Elle y constate un nombre croissant de notifications, mais ne sait pas distinguer ce qui est dû à la prise en compte grandissante de la règlementation et de l’obligation de notifier de tels incidents de sécurité, de ce qui proviendrait de menaces grandissantes sur les données personnelles.

La CNIL fait le constat que plus de la moitié des violations de données proviennent d’actes malveillants, de piratage informatique, principalement par rançongiciels ou hameçonnage.

  • Aussi, il semble recommandé que les responsables de traitement s’assurent que leurs collaborateurs soient formés à la sécurité, et aux principes élémentaires de protection des données personnelles, leur permettant d’adopter les bons réflexes en cas d’incident.
  • Ce bilan fait écho à l’actualisation par la CNIL de son guide de sécurité sur les données personnelles, publié le 26 mars 2024. Cette actualisation a été enrichie notamment d’une nouvelle fiche sur le pilotage de la sécurité des données. La CNIL a également décidé de scinder son ancienne fiche 4 sur « Tracer les opérations et gérer les incidents » en deux fiches distinctes relatives à la traçabilité des opérations, et une autre concernant la gestion des incidents et les violations.

La CNIL revient également sur les délais liés aux violations de données. Si le délai posé par la règlementation est de 72 heures après la connaissance par l’organisme de cette dernière, en pratique la CNIL constate que pour 75% des violations, les notifications interviennent dans les 11 jours de la qualification de l’incident.

  • La bonne pratique à adopter, comme le rappelle la CNIL dans ce bilan, est d’établir une première notification même partielle dans le délai imparti, qui sera complétée par la suite.
  • Article 32 et 33 du Règlement Général sur la Protection des Données
  • Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679, CEPD
  • Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, CEPD
  • Violations de données personnelles : bilan de 5 années de RGPD, CNIL
  • Guide de sécurité des données personnelles – Version 2024

Version du 22 mai 2024

Outil – Le registre de traitement

Véritable outil de pilotage de la conformité de son organisme, chaque responsable de traitement doit posséder un registre des activités de traitement effectuées sous sa responsabilité.

Il est également exigé de tenir un registre des catégories d’activités de traitement : il s’agit des activités effectuées par le responsable de traitement mais en tant que sous-traitant cette fois.

Le registre de traitement n’est pas obligatoire pour les organismes de moins de 250 salariés sauf si :

  • Les traitements effectués sont susceptibles de comporter un risque pour les personnes concernées
  • Les traitements effectués ne sont pas occasionnels
  • Les traitements effectués portent sur des catégories particulières de données

Obligatoire ou non, il semble pertinent d’en tenir un dans tous les cas : cela permet d’avoir une vision d’ensemble des traitements menés par l’organisme, et de mieux piloter sa conformité.

Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données. Aucune forme précise n’est imposée par la règlementation, le tout est d’avoir un registre écrit (papier ou électronique) reprenant les mentions obligatoires (l’article 30 du Règlement général sur la protection des données dresse la liste des mentions). 

Bonne pratique : en cas de recours à un registre de traitement commun à plusieurs organismes, il faut veiller à bien identifier qui est le responsable de chaque traitement. La CNIL a récemment retenu un manquement à l’obligation de tenir un registre pour une société qui tenait un registre commun avec une société rachetée, car il n’était pas possible d’identifier clairement les traitements effectués par l’une ou l’autre des sociétés.

  • Article 30 Règlement général sur la protection des données – RGPD
  • Modèle de registre de traitements de la CNIL
  • Délibération SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA

Version mise à jour le 02 juillet 2024

Outils – Modèle de registre de traitement

Le registre de traitement simplifié mis à disposition par la CNIL permet de satisfaire aux obligations de l’article 30 du RGPD. Sauf quelques rares exceptions, tout responsable de traitement doit avoir un registre de traitement. En plus d’être obligatoire, c’est un véritable outil de pilotage de la conformité.

Ce modèle simplifié proposé par la CNIL peut être enrichi en fonction des pratiques de chaque organisme. Une version enrichie par le Cabinet Vigier Avocats adaptée aux spécificités du secteur de la santé est disponible pour les abonnés.

Article 30 RGPD

Article-30-RGPD

QU’EST-CE QU’UN REGISTRE DE TRAITEMENTS ?

Véritable outil de pilotage de la conformité de son organisme, chaque responsable de traitement doit mettre en place un registre des activités de traitement effectuées sous sa responsabilité.

Il est également exigé de tenir un registre des catégories d’activités de traitement si le responsable de traitement réalise des activités mais en tant que sous-traitant cette fois.

Le registre de traitement n’est pas obligatoire pour les entreprises de moins de 250 salariés sauf si :

  • Les traitements effectués sont susceptibles de comporter un risque pour les personnes concernées
  • Les traitements effectués ne sont pas occasionnels
  • Les traitements effectués portent sur des catégories particulières de données, dont les données de santé

Obligatoire ou non, il est recommandé d’en tenir un dans tous les cas : cela permet d’avoir une vision d’ensemble des traitements menés par l’organisme, et de mieux piloter sa conformité.

Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données. Aucune forme précise n’est imposée par la règlementation, le tout est d’avoir un registre écrit (papier ou électronique) reprenant les mentions obligatoires, tel que prévu à l’article 30 du Règlement général sur la protection des données. 

Bonne pratique : en cas de recours à un registre de traitement commun à plusieurs organismes, il faut veiller à bien identifier qui est le responsable de chaque traitement. La CNIL a récemment retenu un manquement à l’obligation de tenir un registre pour une société qui tenait un registre commun avec une société rachetée, au motif qu’il n’était pas possible d’identifier clairement les traitements effectués par l’une ou l’autre des sociétés.

  • Article 30 Règlement général sur la protection des données – RGPD
  • Modèle de registre de traitements de la CNIL
  • Délibération SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA