La violation de données personnelles

Le règlement général sur la protection des données (RGPD), 2016/679 du 27-4-2016 définit la notion de violation de données à l’article 4-12 comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Lorsqu’une faille de sécurité, ou un manquement à une exigence légale entraine la destruction, la perte, l’altération, la révélation ou l’accès non autorisé à ces données, de manière intentionnelle ou accidentelle, elle présente un risque pour les personnes.

Les obligations du responsable de traitement

Le RGPD instaure un régime général à l’égard des responsables de traitement lorsqu’une violation de données personnelles intervient. En effet, des obligations sont instaurées par le RGPD afin de gérer la violation de données personnelles :

– Le responsable de traitement doit notifier à l’autorité de contrôle, la CNIL, toute violation de données personnelles conformément aux dispositions de l’article 33 du RGPD. La CNIL doit être informée au plus vite, dans les 24 heures de la constatation de la violation ou en cas d’investigations supplémentaires dans les 72 heures suivant la notification initiale.

– Le responsable de traitement doit communiquer à la personne concernée la violation de ses données personnelles en application de l’article 34 du RGPD. La personne doit être informée dans les meilleurs délais lorsque la violation de données personnelles engendre un risque élevé pour ses droits et libertés.

La finalité de cette procédure étant de détecter rapidement la violation et de la faire cesser. De plus, une analyse des risques consécutifs à cette violation est effectuée afin de déterminer si la CNIL et les personnes concernées doivent faire l’objet d’une notification . Ces éléments, permettent également d’établir la documentation interne nécessaire à la conformité au RGPD .

L’exemple de violation de donnée de santé

La CNIL a récemment rappelé les obligations des responsables de traitement en matière de notification de violation de données personnelles.

En effet, en février 2021, l’annonce par des médias d’une fuite massive de données de santé touchant près de 5OO 000 personnes fait état de la gravité et de l’ampleur particulières d’une cyberattaque qui a touché plusieurs laboratoires d’analyse médicale français. D’autant plus que certaines données sensibles n’étaient pas chiffrées et laissaient paraître des informations telles que la pathologie ou l’état de grossesse des clients. Par ailleurs, des données personnelles y figurent clairement comme le numéro de sécurité sociale, des noms de famille, des adresses postales et des e-mails.

La CNIL a constaté l’étendue de la violation de données personnelles et a procédé au rappel des obligations qui incombent aux responsables de traitement dans une telle situation, notamment la notification auprès de la CNIL. S’agissant d’une fuite de données susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées, il est également obligatoire d’informer chaque personne concernée par cette fuite. La CNIL précise par ailleurs, que les responsables de traitement se doivent d’assurer la sécurité des données qu’ils traitent en utilisant des moyens proportionnés au risque.

La CNIL indique dans son rapport d’activité 2020 publié le 18 mai 2021 avoir reçu en 2020, 2825 notifications de violation de données personnelles : soit une augmentation de 24 % par rapport à 2019. Parmi elles, nombreuses sont les attaques par rançongiciel visant notamment les établissements de santé. La CNIL souligne qu’elle veillera particulièrement au respect des obligations relatives aux données de santé.


Sources :

  • Article 4-12 du règlement général sur la protection des données (RGPD) – Définition d’une violation de données personnelles
  •  Article 33 du règlement général sur la protection des données (RGPD) – Notifications d’une violation de données personnelles
  • Article 34 du RGPD – Information des personnes suite à une violation de données personnelles
  • Lignes directrices du Comité européen à la protection des données (CEPD) sur les notifications de violation de données
  • CNIL

Source de l’image : grall-legal