LA VIOLATION DES DONNÉES À CARACTÈRE PERSONNEL

Le cadre juridique des violations de données à caractère personnel constitue l'un des piliers de l'augmentation ds règles applicables à la sécurisation des données.

QUALIFIER LES INCIDENTS DE SÉCURITÉ DE MANIÈRE APPROPRIÉE

Face au multicloud et à la cybermenace, l'exigence de suivi des incidents de sécurité du RGPD et leur notification est devenue cruciale pour la protection des données. 

Le RGPD renforce l'obligation de sécurité des traitement de données à caractère personnel en imposant un suivi rigoureux des incidents de sécurité répondant à la définition d'une d'une violation de données.

 

Une violation de données à caractère personnel est caractérisée par une violation de la sécurité des traitements intervenue de manière accidentelle ou illicite, pouvant réunir deux ordres de critères :

  1. Engendrer la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou leur accès non autorisé

  2. Concerner des données transmises, conservées ou traitées d'une autre manière

Une violation de données est susceptible d'intervenir dans le périmètre des dispositifs du responsable de traitement ainsi que dans celui d"éventuels sous-traitant. 

L'appréciation et la qualification d'une violation s'appuie à minima sur une check-list autour de sept critères complémentaires :

 

  1. La nature, la sensibilité et le volume des données personnelles concernées 

  2. La facilité d’identifier les personnes touchées par la violation

  3. Les conséquences possibles de celles-ci pour les personnes

  4. Les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.)

  5. Le volume de personnes concernées 

Les incidents de sécurité concernés par le RGPD doivent dans tous les cas être consignés dans l'un des registres du RGPD. 

Il est obligatoire d'effectuer une notification auprès de l'autorité de contrôle compétente dans un délai maximum de 72 heures, y compris en cas de doute. Une notification sera le cas échéant réalisée à l'égard des personnes physiques concernées par le traitement litigieux. Le responsable de traitement doit pouvoir compter sur une coopération sans faille de ses sous-traitant.

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents de l'obligations

 de notification des vioaltions,

  • Un incident de sécurité entrant dans le périmètre d'une violation de données soit être appréhendée en mode gestion de crise

  • Le responsable de traitement et le sous-traitant doivent disposer d'une procédure interne permettant de faire face à un tel événement

  • Le registre interne des violations de données doit être complété dans tous les cas

  • Les contrats passés avec des sous-traitants doivent envisager les modalités de gestion d'une violation de données

  • La question des violations de données constitue l'un des aspects à anticiper dans le cadre de la feuille de route RGPD

  • Le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 précité ou des dispositions du II de l'article 83 et de l'article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.

  • Est puni des mêmes peines le fait pour un sous-traitant de ne pas notifier cette violation au responsable de traitement en méconnaissance de l'article 33 du règlement (UE) 2016/679 du 27 avril 2016 précité ou de l'article 102 de la loi n° 78-17 du 6 janvier 1978 

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris