Les violations de données personnelles

Juin 29, 2022
5/5 - (26 votes)

Quand y a-t-il violation de données personnelles?

L’article 4.12 du RGPD définit une violation de données personnelles comme ceci :

une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Pour qu’il y ait une violation de données personnelles, deux conditions doivent donc absolument être réunies :

  1. Mise en œuvre d’un traitement de données personnelles ;
  2. Que ces données aient fait l’objet d’une violation, c’est-à-dire d’une perte de ces données – accidentelle ou illicite.

Il s’agit donc d’un incident de sécurité qui a comme conséquence de compromettre l’intégrité, la disponibilité ou la confidentialité de données personnelles.

Par exemple : un hôpital a supprimé de manière accidentelle des données médicales sans back-up

Que doivent faire les organismes pour éviter une violation de données personnelles ?

Le RGPD indique aux articles 33 et 34 que les organismes doivent mettre en place des mesures pour :

  1. Prévenir les violations de données ;
  2. Réagir directement si il y a eu une violation de données personnelles et minimiser les effets.

Quand faut-il notifier à l’autorité de contrôle (APD, CNIL, …) ?

Globalement, la notification auprès de l’autorité de contrôle doit intervenir le plus rapidement possible et au plus tard 72h après avoir pris connaissance de la violation.

Notons que si le délai de 72h est dépassé, il faudra absolument notifier les motifs de retard.

Que faut-il communiquer à l’autorité de contrôle (APD, CNIL, …) ?

Il faut communiquer, au minimum, les éléments suivants à savoir :

  • la nature de la violation ;
  • les catégories et le nombre approximatif des personnes concernées ;
  • les catégories et le nombre approximatif de fichiers concernés ;
  • les conséquences probables de la violation ;
  • les coordonnées de la personne à contacter (DPO par exemple) ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Si il y a eu une violation de données personnelles, faut-il le communiquer aux personnes concernées ?

Oui et la communication envers les personnes concernées doit être claire, précise et doit contenir au minimum :

  • la nature de la violation ;
  • les conséquences probables de la violation ;
  • les coordonnées de la personne à contacter (DPO par exemple) ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.