L’article 33 du RGPD (Règlement Général sur la Protection des Données) encadre l’obligation légale pour le responsable de traitement de signaler une violation de données personnelles à l’autorité de contrôle compétente. En France, il s’agit de la CNIL.
Ce qu’il faut retenir
- L’obligation incombe au responsable de traitement.
- La notification doit être effectuée à la CNIL 72 heures au plus tard après avoir pris connaissance de la violation.
- Elle n’est obligatoire que si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
- Elle doit décrire la nature de la violation, ses conséquences probables et les mesures prises ou envisagées pour y remédier.
Faire appel à un cabinet conseil RGPD comme Lexagone garantit non seulement la conformité réglementaire de votre organisation, mais aussi sa résilience opérationnelle face aux incidents cyber.
L’article 33 du RGPD : Notification à l’autorité de contrôle d’une violation de données à caractère personnel
Un responsable de traitement a 72 heures pour notifier une violation à la CNIL
L’article 33 du RGPD impose au responsable de traitement l’obligation de notifier toute violation de données à caractère personnel à l’autorité de contrôle compétence (la CNIL). Cette notification doit intervenir dans un délai maximal de 72 heures suivant la prise de connaissance effective de la violation. Ce délai est critique et, en cas de retard, le responsable de traitement doit fournir les motifs justifiant ce dépassement à la CNIL.
Cette obligation n’est toutefois requise que lorsque la violation est susceptible d’engendrer un risque pour les droits et les libertés de la personne concernée.
L’article 33 vise ainsi à garantir la protection maximale et la réactivité face aux incidents de sécurité.
Qu’est-ce qu’une violation de données à caractère personnel ?
Une violation de données à caractère personnel est :
« une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »
Source : CNIL (https://www.cnil.fr/fr/reglement-europeen-protection-donnees)
Le contenu exigé par l’article 33 du RGPD
Les mesures prises pour limiter l’impact de la violation sont l’un des éléments à documenter
Conformément à l’article 33, paragraphe 3, la notification adressée à la CNIL doit permettre de décrire la violation avec suffisamment de précision pour que l’autorité de contrôle puisse évaluer la situation et ses conséquences probables.
La nature et la portée de la violation
Le responsable de traitement doit fournir des informations détaillées sur :
- La nature exacte de la violation (accès indu, altération, perte ou destruction de données)
- Les catégories de personnes physiques concernées par la violation (par exemple des clients, des usagers, des patients…)
- Les catégories de données à caractère personnel concernées (par exemple des identifiants, coordonnées ou données de santé)
- Le nombre approximatif de personnes physiques concernées par la violation
- Le nombre approximatif de données concernés
- Les conséquences probables de la violation
Les mesures de remédiation et d’atténuation
En plus de la description de la violation de données à caractère personnel, il est essentiel d’indiquer les mesures prises ou que le responsable de traitement envisage de prendre pour remédier à la situation.
Cela peut par exemple impliquer de :
- Forcer la réinitialisation de tous les mots de passe si des identifiants ont été compromis.
- Suspendre les comptes affectés pour empêcher tout accès indu ou toute utilisation frauduleuse ultérieure.
- Mettre en place un système de surveillance renforcée pour détecter une nouvelle tentative d’exploitation.
- Appliquer un chiffrement rétroactif aux données restantes ou nouvellement collectées du même type pour éviter de futures fuites.
Le rôle central du DPO
Enfin, le délégué à la protection des données (DPO) accompagne et conseille le responsable de traitement notamment pour l’information des personnes et la notification à la CNIL. Cette dernier doit clairement identifier et fournir les coordonnées du DPO ou de tout autre point de contact capable de fournir des informations supplémentaires. La personne sera alors le point de contact référent de la CNIL pour vérifier et évaluer l’incident.
Sous-traitant et responsable de traitement : une responsabilité en chaîne
En cas de violation, le sous-traitant doit alerter le responsable de traitement qui notifie la CNIL
L’article 33 du RGPD établit une chaîne de responsabilité et d’information claire impliquant les éventuels sous-traitants dans le processus de notification de violation.
Le sous-traitant est le premier maillon de l’alerte. Si la violation de données à caractère personnel survient sur le lieu du traitement effectué par le sous-traitant, ce dernier doit impérativement communiquer l’information au responsable de traitement. Le paragraphe 2 de l’article 33 exige que cette information soit communiquée dans les meilleurs délais dès la prise de connaissance de l’incident. Il est également recommandé d’inclure cette clause au DPA encadrant la relation entre le responsable de traitement et le sous-traitant.
L’obligation de notification formelle à la CNIL demeure à la charge du responsable de traitement. Il utilise l’information obtenue du sous-traitant pour respecter son propre délai de 72 heures et fournir à l’autorité la documentation complète décrivant la violation. Si la communication de l’ensemble des informations n’est pas possible dans le délai imparti, il a la possibilité de les communiquer de manière échelonnée, en réalisant une notification complémentaire auprès de la CNIL
Anticipez les risques : passer par un DPO externalisé vous permet d’identifier et réduire vos vulnérabilités avant l’incident (en couplant par exemple audit RGPD et AIPD). En cas de violation de données, il est le point de contact référent pour la CNIL et assure la gestion de crise.
PARLER À UN EXPERTQuestions fréquentes
Qu’est-ce qu’une violation peu susceptible d’engendrer un risque ?
Une violation peu susceptible d’engendrer un risque n’aura pas d’impact négatif sur les individus. Ce peut, par exemple, être le cas d’une perte de données qui étaient déjà rendues incompréhensibles pas un chiffrement efficace et dont la clé de déchiffrement n’est pas compromise.
Comment signaler une violation ?
Le responsable de traitement doit utiliser le service de notification en ligne mis à disposition par la CNIL pour formaliser la déclaration de violation de données.
Un simple phishing est-il une violation de données ?
Oui, si le phishing aboutit à une compromission d’identifiants et permet un accès illicite à des données personnelles. Il constitue alors une violation de la sécurité au sens du RGPD.
Quelle est la différence entre l’article 33 et l’article 34 du RGPD ?
L’article 33 du RGPD oblige le responsable de traitement à notifier la CNIL en cas de risque. L’article 34, complémentaire, l’oblige à notifier, dans les meilleurs délais, les personnes concernées en cas de risque élevé pour leurs droits et libertés. Cette communication doit être claire, accessible et contenir les informations semblables à celles notifiées à la CNIL conformément à l’article 33 du RGPD.
