📄
Fiches juridiques

RGPD: l’obligation de sécurisation des données à caractère personnel

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Donnée à caractère personnel. Constitue une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire pouvant être identifiée, directement ou indirectement, notamment par référence à un identifiant — nom, numéro, donnée de localisation, identifiant en ligne — ou à un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Avant d’exposer le contenu des obligations nouvelles, il importe de mesurer la portée du renversement opéré. Sous l’empire du droit antérieur, la licéité d’un traitement procédait, pour l’essentiel, d’un contrôle exercé en amont par l’autorité de régulation : c’est l’accomplissement d’une formalité — déclaration ou autorisation préalable — qui conditionnait la régularité de l’opération. Avec le RGPD, le contrôle se déplace en aval : le traitement peut être mis en œuvre sans visa préalable, mais le responsable doit, à tout instant, être en mesure de démontrer sa conformité. La charge se trouve ainsi transférée de l’autorité vers l’acteur, et le moment du contrôle, de l’avant vers l’après.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Le second axe constitue, à vrai dire, l’élément le plus novateur du dispositif. Il ne suffit pas que le responsable du traitement soit, en fait, diligent ; encore faut-il qu’il soit en mesure de prouver sa diligence. Le principe emporte donc une exigence probatoire permanente : la conformité doit être documentée, datée et conservée, de telle sorte qu’elle puisse être restituée à tout moment à l’autorité de contrôle. C’est en ce sens que l’on a pu dire que le RGPD substitue à une obligation de moyens classique une obligation de moyens renforcée par la preuve — l’absence de documentation valant, à elle seule, présomption de carence.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Cette modulation des exigences en considération du risque — que l’on désigne sous le nom d’approche par les risques — irrigue l’ensemble du règlement. Elle commande que l’intensité des obligations ne soit pas uniforme, mais proportionnée à la gravité et à la probabilité des atteintes que le traitement est susceptible de causer aux droits et libertés des personnes. Ubi major, minor cessat : là où le risque est faible, des précautions élémentaires suffisent ; là où il est élevé — traitement de données sensibles, profilage à grande échelle, surveillance systématique —, des garanties renforcées s’imposent.

Exemple. Un commerçant qui tient un simple fichier de coordonnées clients (nom, adresse électronique) n’est pas tenu aux mêmes diligences qu’un établissement de santé gérant les dossiers médicaux de plusieurs milliers de patients : le premier pourra se contenter d’un contrôle d’accès et d’une sauvegarde régulière, là où le second devra recourir au chiffrement, à la traçabilité fine des consultations et, le cas échéant, à une analyse d’impact préalable.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations, dont l’obligation de sécurisation des données.

I) La définition de la politique de sécurité

Le contenu du dispositif

L’une des exigences du RGPD est que les données à caractère personnel soient traitées de façon à garantir un niveau de sécurité approprié desdites données, et notamment à les protéger contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Cette exigence rejoint celle posée à l’article 34 de la loi informatique et libertés qui énonce que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

La notion centrale, autour de laquelle s’ordonne tout le dispositif, est celle de mesures techniques et organisationnelles. Il convient d’en cerner d’emblée la double dimension, car la sécurité des données ne saurait se réduire à un enjeu purement informatique.

Mesures techniques et organisationnelles. Les mesures techniques désignent l’ensemble des dispositifs matériels et logiciels qui protègent les données — chiffrement, contrôle d’accès logique, pare-feu, sauvegardes, journalisation. Les mesures organisationnelles désignent les procédures, règles internes et actions humaines qui en encadrent l’usage — politique de gestion des habilitations, sensibilisation du personnel, charte informatique, gestion des départs et arrivées de collaborateurs. Les premières répondent à la question « par quels moyens techniques protège-t-on la donnée ? » ; les secondes, à la question « comment l’organisation et les hommes garantissent-ils cette protection ? ». La sécurité effective suppose la conjonction des deux ordres de mesures.

A cet égard, l’article 32, 1 du RGPD prévoit que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Ces mesures doivent être prises en considération de :

  • L’état des connaissances
  • Des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement
  • Des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques

La lecture de ces critères révèle que l’obligation de sécurité n’est pas une obligation de résultat absolu. Le responsable du traitement n’est pas garant d’une inviolabilité parfaite — laquelle serait, au demeurant, un objectif chimérique —, mais d’une adéquation entre les mesures déployées et l’état de l’art à un instant donné. La référence à « l’état des connaissances » introduit ainsi une dimension évolutive : une mesure jugée suffisante hier peut devenir inadéquate dès lors que de nouvelles menaces apparaissent ou que des techniques de protection plus performantes se généralisent. De là procède le caractère nécessairement périodique du réexamen des mesures. La mention des « coûts de mise en œuvre » tempère, quant à elle, l’exigence : elle autorise une mise en balance entre le degré de risque et la proportionnalité de l’effort financier requis, sans toutefois permettre à l’acteur de se retrancher derrière un argument budgétaire pour négliger des précautions élémentaires.

Surtout, il est par ailleurs précisé que lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Les mesures techniques et organisationnelles prises par le responsable du traitement peuvent notamment consister en :

  • La pseudonymisation et le chiffrement des données à caractère personnel ;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Parmi ces mesures, deux techniques méritent d’être distinguées avec soin, car elles sont fréquemment confondues alors qu’elles emportent des conséquences juridiques radicalement différentes : la pseudonymisation et l’anonymisation.

Pseudonymisation et anonymisation. La pseudonymisation consiste à traiter les données de telle façon qu’elles ne puissent plus être attribuées à une personne déterminée sans le recours à des informations supplémentaires conservées séparément — par exemple le remplacement d’un nom par un code, la table de correspondance étant gardée à part. La donnée pseudonymisée demeure une donnée à caractère personnel et reste, à ce titre, soumise au RGPD. L’anonymisation, en revanche, rend l’identification définitivement impossible, de manière irréversible ; la donnée anonymisée sort du champ d’application du règlement. La différence est donc de nature, et non de degré : seule l’anonymisation fait perdre à la donnée son caractère personnel.

La finalité du dispositif

D’abord, le considérant 39 du RGPD prévoit que les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Ensuite, il ressort du considérant 87 que, s’il doit être vérifié que toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre, c’est pour établir immédiatement si une violation des données à caractère personnel s’est produite, ce qui déterminera si l’obligation de notification s’applique.

Au fond, l’un des éléments clés de toute politique de sécurité des données est d’être en mesure de prévenir toute violation dans la mesure du possible et, lorsqu’une telle violation se produit malgré tout, d’y réagir dans les meilleurs délais.

La finalité du dispositif se laisse donc ramener à un double office : un office préventif — empêcher la survenance de la violation — et un office réactif — en circonscrire les effets lorsqu’elle s’est néanmoins produite. Ces deux offices ne s’excluent pas ; ils se commandent l’un l’autre. C’est, en effet, parce que les mesures de sécurité ont permis de détecter et de tracer un incident que le responsable du traitement sera en mesure d’apprécier la gravité de la violation, et partant, de déterminer s’il lui incombe d’en notifier l’existence. La sécurité préventive est ainsi la condition de l’efficacité de la réaction.

Méthodologie

L’article 32 du RGPD prévoit, pour rappel, que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Pour la CNIL, une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.

Aussi, afin de permettre aux responsables de traitements de données de définir leur politique de gestion des risques, la CNIL a-t-elle mis au point une métrologie qui repose sur les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

Cette méthodologie consiste en une démarche à suivre qui comporte six étapes :

  • Première étape
    • Elle consiste à recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent :
      • Les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
      • Les logiciels (ex : système d’exploitation, logiciel métier) ;
      • Les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
      • Les supports papier (ex : document imprimé, photocopie).
  • Deuxième étape
    • Elle consiste à identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
      • Accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
      • Modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
      • Disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
  • Troisième étape
    • Elle consiste à identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
  • Quatrième étape
    • Elle consiste à identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :
      • Utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
      • Modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
      • Perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
      • Observés (ex : observation d’un écran dans un train, géolocalisation d’un matériel) ;
      • Détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
      • Surchargés (ex : unité de stockage pleine, attaque par dénis de service).
  • Cinquième étape
    • Elle consiste à déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
  • Sixième étape
    • Elle consiste à estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).

Cette démarche en six temps obéit à une logique d’ensemble qu’il importe de saisir pour ne pas la réduire à une succession mécanique de formalités. Les quatre premières étapes relèvent de l’identification : il s’agit de cartographier ce que l’on protège (les données et leurs supports), ce que l’on redoute (les évènements préjudiciables), d’où vient la menace (les sources de risque) et par quel canal elle peut se réaliser. Les deux dernières relèvent du traitement du risque : recenser les parades existantes, puis mesurer le risque résiduel à l’aune de sa gravité et de sa vraisemblance. La combinaison de ces deux dernières variables est cardinale, car c’est de leur croisement que naît la hiérarchisation des priorités : un risque grave mais hautement improbable n’appellera pas le même traitement qu’un risque modéré mais quasi certain. Ainsi se trouve concrétisée, au plan opérationnel, l’approche par les risques précédemment exposée.

II) La notification des violations de données à caractère personnel

L’un des principaux apports du RGPD est qu’il généralise l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle et aux personnes concernées.

Cette généralisation marque, là encore, une rupture. Sous l’empire du droit antérieur, l’obligation de notification ne pesait que sur les fournisseurs de services de communications électroniques accessibles au public — d’où la rédaction, demeurée plus étroite, de l’article 34 bis de la loi informatique et libertés. Le RGPD étend désormais cette obligation à tout responsable de traitement, quel que soit son secteur d’activité. C’est dire l’ampleur du changement : la transparence à l’égard de l’incident devient un principe de portée générale, et non plus une sujétion sectorielle.

Notion

Le RGPD définit en son article 4, 12 la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Sensiblement dans le même sens, l’article 34 bis de la loi informatique et libertés prévoit que « on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »

Il ressort de ces deux définitions que, pour qu’une violation de données à caractère personnel soit caractérisée, deux éléments doivent être réunis :

  • Un traitement de données à caractère personnel doit avoir été mis en œuvre
  • Les données ont fait l’objet d’une violation laquelle consiste
    • Soit en la destruction, la perte, l’altération, la divulgation non autorisée de données
    • Soit en l’accès non autorisé à ces données

Il faut prendre garde à ne pas confondre la violation de données au sens du RGPD avec la seule intrusion malveillante d’un tiers. La notion est notablement plus large : elle englobe aussi bien l’acte illicite — le piratage, le vol, la divulgation fautive — que l’incident purement accidentel — l’envoi d’un courriel au mauvais destinataire, la perte d’une clé USB, la destruction d’un fichier par une mauvaise manipulation ou un sinistre. Le critère déterminant n’est donc pas l’intention de nuire, mais l’atteinte objective portée à la sécurité de la donnée. De même, l’indisponibilité temporaire — par exemple à la suite d’une panne ou d’une attaque par déni de service — peut, à elle seule, constituer une violation, alors même qu’aucune donnée n’a été ni soustraite ni altérée.

Exemple. Un gestionnaire de paie adresse par erreur, en pièce jointe d’un courriel collectif, le bulletin de salaire d’un employé à l’ensemble du personnel : bien qu’aucun tiers extérieur ne soit en cause et qu’aucune intention malveillante n’existe, il y a divulgation non autorisée, et partant violation de données au sens de l’article 4, 12.

Dans son avis 03/2014 sur la notification des violations, le G29 considérait que les violations pouvaient être classées selon trois principes de sécurité de l’information bien connus :

  • Violation de la confidentialité: la divulgation ou l’accès non autorisés ou accidentels à des données à caractère personnel
  • Violation de l’intégrité: l’altération non autorisée ou accidentelle de données à caractère personnel
  • Violation de la disponibilité: la destruction ou la perte accidentelles ou non autorisées de l’accès15 à des données à caractère personnel

Il convient également de noter qu’en fonction des circonstances, une violation peut concerner à la fois la confidentialité, l’intégrité et la disponibilité de données à caractère personnel ou une combinaison de ces éléments.

S’il est relativement facile de déterminer si une violation de la confidentialité ou de l’intégrité s’est produite, il peut être moins évident de déterminer l’existence d’une violation de la disponibilité. Une violation sera toujours considérée comme une violation de la disponibilité en cas de perte ou de destruction permanente de données à caractère personnel.

Cette tripartition — confidentialité, intégrité, disponibilité — recoupe les trois propriétés cardinales que toute politique de sécurité de l’information a précisément pour objet de préserver. À chaque évènement redouté identifié au stade de l’analyse des risques correspond ainsi l’atteinte à l’une de ces trois propriétés : l’accès illégitime menace la confidentialité, la modification non désirée menace l’intégrité, la disparition menace la disponibilité. La symétrie entre la grille d’analyse des risques exposée plus haut et la typologie des violations n’est pas fortuite : elle traduit la cohérence interne du dispositif, qui pense la violation comme la réalisation d’un risque préalablement cartographié.

Enjeux

Comme relevé pour le Groupe de l’article 29, une violation de données à caractère personnel peut potentiellement avoir, pour les personnes concernées, toute une série de conséquences négatives, susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Le RGPD indique que ces dommages et préjudices peuvent inclure une perte de contrôle sur leurs données à caractère personnel, la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation ou une perte de confidentialité de données à caractère personnel protégées par le secret professionnel. Ils peuvent également comprendre tout autre dommage économique ou social important pour les personnes concernées.

Pour ces raisons, le RGPD exige donc du responsable du traitement qu’il notifie toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer le risque que de telles conséquences négatives ne se produisent. Lorsqu’en revanche, ce risque est élevé, le RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Il résulte de ce qui précède que le RGPD établit un mécanisme de notification à double détente, dont l’intensité est graduée selon le degré de risque que la violation fait peser sur les droits et libertés des personnes. Cette gradation, qui prolonge une fois encore l’approche par les risques, peut être résumée en trois hypothèses :

  • Risque inexistant ou improbable — la violation n’est pas susceptible d’engendrer un risque : aucune notification n’est requise, mais la violation doit néanmoins être consignée dans la documentation interne ;
  • Risque avéré — la violation est susceptible d’engendrer un risque pour les droits et libertés : seule la notification à l’autorité de contrôle s’impose ;
  • Risque élevé — la violation est susceptible d’engendrer un risque élevé : à la notification à l’autorité de contrôle s’ajoute l’obligation de communiquer la violation aux personnes concernées.

Deux sortes de notifications sont ainsi envisagées par le texte :

  • La notification à l’autorité de contrôle
  • La notification aux personnes concernées

A) La notification des violations de données à l’autorité de contrôle

  1. Principe

La survenance d’une violation de données à caractère personnel ne se résout pas dans le seul constat d’un manquement à l’obligation de sécurisation : elle déclenche, à la charge du responsable du traitement, un mécanisme d’alerte à double détente. D’une part, une notification à l’autorité de contrôle, gouvernée par l’article 33 du RGPD ; d’autre part, une communication aux personnes concernées elles-mêmes, régie par l’article 34. Ces deux obligations, quoique nées d’un même fait générateur, obéissent à des seuils de déclenchement distincts et poursuivent des finalités différentes — l’une tournée vers le contrôle institutionnel, l’autre vers la protection immédiate de l’individu. Avant d’en détailler le régime, encore convient-il de circonscrire la notion même de violation.

Violation de données à caractère personnel. Au sens de l’article 4, 12° du RGPD, constitue une violation toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou encore l’accès non autorisé à de telles données. La notion ne se confond donc pas avec le seul piratage malveillant : l’erreur, la négligence et l’accident en relèvent tout autant que l’intrusion frauduleuse.

De cette définition, le Groupe de l’article 29 a tiré une typologie devenue canonique, qui distingue selon l’attribut de sécurité atteint :

  • La violation de confidentialité — divulgation ou accès non autorisés ou accidentels à des données à caractère personnel ;
  • La violation d’intégrité — altération non autorisée ou accidentelle de données à caractère personnel ;
  • La violation de disponibilité — destruction, perte d’accès accidentelle ou non autorisée, ou indisponibilité de données à caractère personnel.

Cette grille de lecture n’est pas un simple exercice de qualification : une même violation peut affecter cumulativement les trois attributs, et c’est précisément l’attribut atteint qui orientera, en aval, l’appréciation du risque et, partant, l’étendue des obligations de notification.

Exemple. La perte d’une clé USB chiffrée contenant l’unique exemplaire d’un fichier de patients réalise une violation de disponibilité (les données ne sont plus accessibles au responsable) sans nécessairement emporter de violation de confidentialité (le chiffrement rendant les données incompréhensibles à un tiers). Le vol d’une base de données clients en clair, à l’inverse, cumule l’atteinte à la confidentialité et, le plus souvent, à la disponibilité.

Exigence de notification

L’article 33 du RGPD dispose que en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, soit à la CNIL lorsque la violation intervient sur le territoire français.

L’obligation pèse, à titre principal, sur le responsable du traitement, en sa qualité de maître des finalités et des moyens du traitement. Le sous-traitant, parce qu’il agit pour le compte d’autrui, n’est pas tenu d’alerter directement l’autorité de contrôle ; sa charge est d’une autre nature, mais elle conditionne le respect, par le responsable, de son propre délai.

Quant au sous-traitant, il a l’obligation de notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Plus encore, en application de l’article 28, 3, f, il doit, aider le responsable du traitement à garantir le respect de l’obligation de notification, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

La logique de cette chaîne d’alerte mérite d’être explicitée. Le délai de soixante-douze heures imparti au responsable ne court qu’à compter de sa propre prise de connaissance ; or, lorsque la violation se produit chez le sous-traitant, le responsable n’en a, par hypothèse, pas connaissance immédiate. Aussi le Groupe de l’article 29 considère-t-il que le responsable est réputé avoir pris connaissance de la violation dès l’instant où le sous-traitant l’en informe. La célérité de la notification au responsable n’est donc pas une simple courtoisie contractuelle : elle commande, en fait, la tenue du délai légal et engage la responsabilité du sous-traitant qui aurait tardé. C’est la raison pour laquelle l’acte de sous-traitance, exigé par l’article 28, doit stipuler précisément les modalités et les délais de cette remontée d’information.

Contenu de la notification

La notification dont est destinataire l’autorité de contrôle doit :

  • Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • Décrire les conséquences probables de la violation de données à caractère personnel ;
  • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

L’emploi réitéré de la formule « si possible » n’est pas anodin : il traduit le caractère évolutif de la connaissance que le responsable a de l’incident. Le RGPD n’exige pas une notification exhaustive au prix d’un retard, mais une notification prompte, quitte à ce que certaines rubriques demeurent provisoires — ce que confirme le mécanisme de notification échelonnée examiné ci-après.

Le délai de notification

  • La notification à bref délai
    • L’article 33, 1 du RGPD prévoit que la notification de la violation de données doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
    • Cette exigence soulève la question de savoir quand un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation.
    • Le Groupe de l’article 29 considère qu’un responsable du traitement doit être considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel.
    • Au vrai, le moment exact où un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation spécifique dépendra des circonstances de la violation en question.
    • Dans certains cas, il sera relativement clair dès le début qu’une violation s’est produite, tandis que dans d’autres, un certain temps pourrait être nécessaire avant de pouvoir déterminer si des données à caractère personnel ont été compromises.
    • Après avoir pris connaissance d’un incident, le responsable du traitement doit notifier toute violation soumise à l’obligation de notification dans les meilleurs délais, et, si possible, dans les 72 heures.
    • Pendant cette période, il appartient au responsable du traitement d’évaluer le risque probable pour les personnes concernées afin de déterminer si l’obligation de notification s’applique et quelle ou quelles mesures doivent être prises afin de remédier à cette violation.

Deux précisions s’imposent sur ce point cardinal. En premier lieu, le délai de soixante-douze heures n’est pas un délai de grâce dont le responsable disposerait librement : il constitue un plafond, la règle de principe demeurant la notification « dans les meilleurs délais ». Le responsable qui aurait acquis une certitude raisonnable dès la première heure ne saurait, sans manquement, attendre le terme des soixante-douze heures pour notifier. En second lieu, la prise de connaissance se distingue du simple soupçon : un signal d’alerte non confirmé ne déclenche pas encore le délai, mais oblige le responsable à mener, sans tarder, l’enquête de qualification. La courte période d’investigation initiale est ainsi réputée comprise dans la prise de connaissance, et non antérieure à elle.

Exemple. Un administrateur système détecte le vendredi à 17 heures une activité réseau suspecte. À ce stade, le seul soupçon ne fait pas courir le délai. Après vérification, il acquiert le samedi à 11 heures la certitude raisonnable qu’une base de données a été exfiltrée : c’est de cet instant que court le délai de soixante-douze heures, qui expire le mardi à 11 heures. La survenance d’un week-end ou d’un jour férié n’en suspend pas le cours.
  • La notification échelonnée
    • En fonction de la nature de la violation, il peut être nécessaire que le responsable du traitement effectue une enquête complémentaire afin d’établir tous les faits pertinents liés à l’incident.
    • Aussi l’article 33, 4, dispose-t-il que « si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. »
    • Cela signifie que le RGPD reconnaît que les responsables du traitement ne disposeront pas toujours de toutes les informations nécessaires concernant une violation dans les 72 heures après en avoir pris connaissance, dès lors que l’ensemble des détails de l’incident peuvent ne pas être systématiquement disponibles au cours de cette période initiale.
    • Il autorise donc une notification échelonnée.
    • Une telle notification interviendra plus probablement dans le cas de violations plus complexes, telles que certains types d’incidents de cybersécurité nécessitant par exemple une enquête approfondie et détaillée afin d’établir pleinement la nature de la violation et la mesure dans laquelle des données à caractère personnel ont été compromises.
    • Dans de nombreux cas, le responsable du traitement devra ainsi poursuivre son enquête et fournir des informations complémentaires à l’autorité de contrôle par la suite.
    • Il y est autorisé à condition de justifier son retard conformément à l’article 33, 1.
    • Le Groupe de l’article 29 recommande que, si le responsable du traitement ne dispose pas encore de toutes les informations nécessaires, il en informe l’autorité de contrôle dans le cadre de sa notification initiale et précise qu’il fournira des informations plus détaillées par la suite.

Il importe de ne pas confondre la notification échelonnée avec la notification tardive. La première suppose une notification initiale intervenue dans le délai, simplement complétée par la suite à mesure que l’enquête progresse ; la seconde désigne l’hypothèse, distincte, où la notification elle-même n’a pu être adressée dans les soixante-douze heures. Dans le premier cas, le responsable a respecté son obligation tout en réservant un complément d’information ; dans le second, il doit justifier d’un motif de retard.

  • La notification tardive
    • L’article 33, 1 du RGPD prévoit que « lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
    • Cette disposition reconnaît, au même titre que le concept de notification échelonnée, qu’un responsable du traitement peut ne pas toujours être en mesure de notifier une violation dans ce délai, et qu’une notification tardive pourrait être autorisée.
    • Un tel scénario pourrait par exemple se produire lorsqu’un responsable du traitement constate, sur une courte période, plusieurs violations similaires affectant de façon identique de grandes quantités de personnes concernées.
    • Un responsable du traitement pourrait prendre connaissance d’une violation et, en entreprenant son enquête et avant la notification, détecter d’autres violations similaires dont la cause diffère.
    • En fonction des circonstances, il pourrait falloir un certain temps au responsable du traitement pour établir la portée des violations et pour élaborer une notification constructive comprenant différentes violations très similaires, mais aux causes potentiellement différentes, plutôt que de notifier chaque violation individuellement.
    • La notification à l’autorité de contrôle peut par conséquent avoir lieu plus de 72 heures après la prise de connaissance de ces violations par le responsable du traitement.

Le motif du retard n’a pas pour effet d’exonérer le responsable : il en assure seulement la traçabilité et permet à l’autorité de contrôle d’apprécier le sérieux de la diligence. Un retard non justifié, ou justifié par une simple incurie organisationnelle, demeure constitutif d’un manquement autonome, indépendant de la violation initiale.

La documentation de la violation

Que la violation de données doive ou non être notifiée à l’autorité de contrôle, le responsable du traitement a l’obligation de documenter toutes les violations, comme exigé à l’article 33, 5 du RGPD.

Article 33, 5 du RGPD en vigueur

« Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Cette obligation de documentation est liée au principe de responsabilité du RGPD figurant à l’article 5 2.

Cette exigence de tenir des registres des violations, qu’elles soient sujettes à notification ou non, est également liée aux obligations du responsable du traitement au titre de l’article 24, et l’autorité de contrôle peut demander à voir lesdits registres.

Les responsables du traitement sont donc encouragés à établir un registre interne des violations, qu’ils soient tenus de les notifier ou non.

La portée de cette obligation se comprend à la lumière du principe de responsabilité — l’accountability consacrée à l’article 5, 2 — qui renverse la charge de la preuve : il n’incombe pas à l’autorité de contrôle d’établir le manquement, mais au responsable de démontrer qu’il s’est conformé à ses obligations. Le registre interne des violations devient ainsi l’instrument probatoire par excellence : en l’absence d’une documentation rigoureuse, le responsable se trouve dans l’impossibilité de justifier, en particulier, la décision de ne pas notifier une violation, et s’expose à ce que cette abstention soit elle-même qualifiée de manquement.

S’il appartient au responsable du traitement de déterminer la méthode et la structure à utiliser pour documenter une violation, certaines informations clés doivent être incluses en toutes circonstances.

Comme requis à l’article 33, 5, le responsable du traitement doit reprendre des informations concernant la violation, y compris les causes, les faits et les données à caractère personnel concernées. Il doit également inclure les effets et les conséquences de la violation ainsi que les mesures prises par le responsable du traitement pour y remédier.

Outre ces informations, le Groupe de l’article 29 recommande que le responsable du traitement documente également le raisonnement justifiant les décisions prises en réaction à la violation.

En particulier, lorsqu’une violation n’est pas notifiée, la justification de cette décision doit être documentée.

Cette justification doit inclure les raisons pour lesquelles le responsable du traitement considère que la violation est peu susceptible d’engendrer un risque pour les droits et libertés des individus.

2. Exception

L’article 33, 1 prévoit clairement qu’une violation qui n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » n’a pas à être notifiée à l’autorité de contrôle.

L’exception doit être maniée avec circonspection. Le seuil retenu par l’article 33, 1 n’est pas celui du « risque élevé » — réservé à la communication aux personnes — mais celui, nettement plus bas, du « risque » tout court. Il en résulte que l’abstention de notifier à l’autorité ne se conçoit que dans l’hypothèse, somme toute résiduelle, où la violation est dépourvue de tout risque appréciable. En cas de doute, l’économie du texte commande la notification, l’exception devant recevoir une interprétation stricte.

Tel pourrait par exemple être le cas lorsque les données à caractère personnel sont déjà disponibles pour le public et qu’une divulgation desdites données n’est pas susceptible d’engendrer un risque pour les personnes concernées.

Ceci contraste avec les obligations de notification s’appliquant aux fournisseurs de services de communications électroniques accessibles au public en vertu de la directive 2009/136/CE, qui dispose que toutes les violations pertinentes doivent être notifiées à l’autorité compétente.

A cet égard, dans son avis 03/2014 sur la notification des violations, le Groupe de l’article 29 expliquait qu’une violation de la confidentialité de données à caractère personnel qui ont été cryptées à l’aide d’un algorithme de pointe constitue, malgré tout, une violation de données à caractère personnel, et que celle-ci devait être notifiée.

Néanmoins, si la confidentialité de la clé de cryptage est intacte – soit que la clé n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser –, les données sont en principe incompréhensibles.

La violation n’est donc pas susceptible de porter atteinte aux personnes concernées et n’aurait donc pas besoin de leur être communiquée.

Toutefois, même lorsque les données sont cryptées, une perte ou une altération peut avoir des conséquences négatives pour les personnes concernées lorsque le responsable du traitement ne dispose pas de sauvegardes adéquates.

Dans ce cas de figure, il convient de communiquer la violation aux personnes concernées, même si les données elles-mêmes ont fait l’objet de mesures de cryptage adéquates.

Cet exemple du chiffrement révèle, au demeurant, la nécessaire dissociation des deux obligations. Le chiffrement par un algorithme de pointe ne fait pas disparaître la violation — elle existe et doit, en principe, être documentée ; il neutralise seulement le risque attaché à l’atteinte à la confidentialité, et partant l’obligation de communication aux personnes. Mais il demeure sans effet sur l’atteinte à la disponibilité : la perte irréversible de données chiffrées non sauvegardées engendre un risque propre, qui peut justifier à lui seul la communication. La qualification de la violation selon le triptyque confidentialité-intégrité-disponibilité commande ainsi, ici encore, l’étendue des obligations.

B) La notification des violations de données aux personnes concernées

  1. Principe

Exigence de notification

L’article 34 du RGPD dispose que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il ressort de cette disposition que la notification est ainsi exigée dès lorsque que la violation de données « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».

Le seuil à atteindre est par conséquent plus élevé pour la communication aux personnes concernées que pour la notification à l’autorité de contrôle, et toutes les violations ne devront donc pas être communiquées aux personnes concernées, ce qui les protège de notifications excessives et non nécessaires.

La gradation des seuils, qui structure tout le dispositif, mérite d’être fixée avec netteté, tant elle conditionne en pratique la conduite à tenir par le responsable :

Le double seuil de déclenchement. Trois situations doivent être distinguées. Premièrement, lorsque la violation n’engendre aucun risque pour les droits et libertés, aucune obligation de notification ne pèse sur le responsable, qui doit néanmoins documenter la violation (art. 33, 5). Deuxièmement, lorsqu’elle engendre un risque, le responsable doit notifier à l’autorité de contrôle (art. 33), sans avoir à informer les personnes. Troisièmement, lorsqu’elle engendre un risque élevé, s’ajoute à la notification à l’autorité la communication aux personnes concernées (art. 34). La communication individuelle constitue ainsi le degré le plus exigeant du dispositif, réservé aux atteintes les plus graves.

Cette architecture obéit à une logique de proportionnalité. La communication individuelle, parce qu’elle peut générer inquiétude et défiance, n’est requise que là où elle est utile à la personne — c’est-à-dire là où le risque élevé justifie qu’elle prenne elle-même des mesures de protection, telles que la modification d’un mot de passe ou la surveillance d’un compte bancaire.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé pour les droits et libertés » des personnes.

L’appréciation du risque élevé

Le considérant 75 du RGPD indique :

  • D’une part, que, les risques pour les droits et libertés des personnes physiques sont susceptibles de présenter différents degrés de probabilité et de gravité
  • D’autre part, que, des risques pour les droits et libertés des personnes physiques existent en particulier :
    • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important
    • Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
    • Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes
    • Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
    • Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants
    • Lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Le considérant 76 précise qu’il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement.

A cet égard, le risque doit faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Le Groupe de l’article 29 recommande que l’évaluation du risque tienne compte d’un certain nombre de critères :

  • Le type de violation
    • Le type de la violation survenue peut avoir une incidence sur le niveau de risque encouru par les personnes concernées.
    • Par exemple, les conséquences d’une violation de la confidentialité dans le cadre de laquelle des informations médicales ont été divulguées à des parties non autorisées pourraient différer de celles engendrées par une violation dans le cadre de laquelle les informations médicales d’un patient ont été perdues ou ne sont plus disponibles.

  • La nature, le caractère sensible et le volume des données à caractère personnel
    • L’un des facteurs clés dans l’évaluation du risque est le type et le caractère sensible des données à caractère personnel qui ont été compromises par la violation.
    • En général, plus les données sont sensibles, plus le risque de dommage sera élevé pour les personnes concernées, mais il convient également de tenir compte des autres données à caractère personnel qui pourraient déjà être disponibles au sujet de la personne concernée.
    • Par exemple, dans des circonstances normales, la divulgation du nom et de l’adresse d’une personne est peu susceptible d’entraîner un préjudice important.
  • La facilité d’identification des personnes concernées
    • Un facteur important à prendre en compte est la facilité avec laquelle une partie ayant accès à des données à caractère personnel compromises peut identifier des individus spécifiques ou associer les données en question à d’autres informations afin d’identifier ces mêmes individus.
    • Dans certaines circonstances, une identification pourrait être possible directement à partir des données à caractère personnel compromises, sans que des recherches spécifiques ne soient nécessaires pour découvrir l’identité de la personne concernée, tandis que dans d’autres, il pourrait être extrêmement difficile d’attribuer des données à caractère personnel à une personne spécifique, bien que cela puisse toujours être possible dans certaines conditions.
    • Une identification peut être directement ou indirectement possible à partir des données compromises, comme elle peut dépendre des circonstances spécifiques de la violation et de la disponibilité publique de renseignements personnels connexes.
  • La gravité des conséquences pour les personnes concernées
    • En fonction de la nature des données à caractère personnel impliquées dans une violation, par exemple des catégories particulières de données, les dommages potentiels pour les personnes concernées peuvent être particulièrement graves, notamment lorsque la violation pourrait entraîner un vol ou une usurpation d’identité, un préjudice physique, une détresse psychologique, une humiliation ou une atteinte à la réputation.
    • Si la violation concerne des données à caractère personnel de personnes vulnérables, celles-ci pourraient être exposées à un plus grand risque de dommages.
  • Les caractéristiques particulières des personnes concernées
    • Une violation peut toucher des données à caractère personnel concernant des enfants ou d’autres personnes vulnérables, qui pourraient alors être exposés à un risque plus important.
    • D’autres facteurs spécifiques aux personnes concernées pourraient également affecter la gravité des conséquences de la violation pour les personnes en question.
  • Les caractéristiques particulières du responsable du traitement
    • La nature et le rôle du responsable du traitement ainsi que de ses activités peuvent affecter le niveau de risque qu’engendre une violation pour les personnes concernées.
    • Par exemple, dès lors qu’une organisation médicale traite des catégories particulières de données à caractère personnel, le risque pour les personnes concernées sera plus important en cas de violation de données à caractère personnel que s’il s’agissait d’une liste de diffusion d’un journal.
  • Le nombre de personnes concernées
    • Une violation peut toucher uniquement une personne, un nombre restreint de personnes ou des milliers de personnes, voire davantage.
    • En général, plus le nombre de personnes concernées est élevé, plus les conséquences potentielles d’une violation sont nombreuses.
  • Éléments généraux
    • Lorsqu’il évalue le risque susceptible de résulter d’une violation, le responsable du traitement devrait ainsi examiner à la fois la gravité des conséquences potentielles pour les droits et libertés des personnes concernées et la probabilité que ces conséquences se produisent.
    • Il est évident que lorsque les conséquences d’une violation sont potentiellement plus graves, le risque est plus élevé.
    • De même, lorsque la probabilité que celles-ci se produisent est plus importante, le risque s’en verra également renforcé.
    • En cas de doute, le responsable du traitement devrait opter pour la prudence et procéder à une notification.

Il se déduit de ce faisceau de critères que l’évaluation du risque élevé ne procède d’aucun automatisme : elle résulte de la combinaison de deux grandeurs — la gravité des conséquences possibles et leur probabilité de réalisation. Le risque, en ce sens, n’est pas une donnée mais une fonction : une atteinte d’une gravité extrême mais hautement improbable peut ne pas atteindre le seuil élevé, là où une atteinte modérée mais quasi certaine l’atteindra. C’est la raison pour laquelle le RGPD impose, en cas d’incertitude irréductible, une règle de prudence : in dubio, le responsable communique.

Exemple. La divulgation d’un fichier comportant les seuls noms et adresses postales de quelques abonnés à une lettre d’information n’atteint, en règle générale, pas le seuil du risque élevé. En revanche, la divulgation d’un fichier de patients révélant des pathologies, croisé avec des identifiants permettant une identification directe, réalise un risque élevé appelant communication individuelle : la sensibilité des données, la facilité d’identification et la gravité des conséquences — atteinte à la réputation, discrimination — convergent.

Contenu de la notification

L’article 34, 2 prévoit que la communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d), soit :

  • La communication du nom et des coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

L’exigence de « termes clairs et simples » distingue, quant à la forme, la communication aux personnes de la notification à l’autorité. Là où cette dernière s’adresse à un destinataire averti et peut emprunter un langage technique, la première vise un public profane : elle doit être intelligible, dépourvue de jargon, et orientée vers l’action — c’est-à-dire indiquer concrètement à la personne les mesures qu’elle peut prendre pour se prémunir. On observera, en outre, que l’énumération de l’article 34, 2 omet, par renvoi sélectif au seul article 33, 3, points b), c) et d), la description de la nature de la violation au sens du point a) ; mais cette description figure déjà, sous une autre forme, dans l’obligation de décrire la violation « en des termes clairs et simples ».

Délai de notification

L’article 34, 1 du RGPD prévoit que la notification de la violation doit intervenir dans les plus brefs délais sans autre précision.

L’absence de délai chiffré ne saurait s’interpréter comme une tolérance : la communication aux personnes obéit même, dans son esprit, à une exigence de célérité accrue, car son utilité tient précisément à ce qu’elle parvienne assez tôt pour que la personne puisse réagir. La formule « dans les meilleurs délais » impose ainsi une diligence soutenue, l’objet de la communication — permettre la prise de mesures de protection — perdant toute portée si elle intervient tardivement.

Le 4 précise que si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Il appartient donc au responsable du traitement de notifier immédiatement à l’autorité de contrôle, soit à la CNIL, toute violation de données.

Ce pouvoir d’injonction de l’autorité de contrôle révèle le caractère non purement discrétionnaire de l’appréciation du responsable : si ce dernier conclut, à tort, à l’absence de risque élevé et s’abstient de communiquer, l’autorité conserve la faculté de réviser cette appréciation et de lui enjoindre d’informer les personnes. La décision de ne pas communiquer demeure ainsi, jusqu’au terme, placée sous le contrôle de l’autorité — ce qui confère à la documentation de l’article 33, 5 une portée déterminante, puisque c’est sur elle que se fondera le contrôle.

2. Exception

À l’instar de la notification à l’autorité, la communication aux personnes connaît des dérogations, mais limitativement énumérées par l’article 34, 3 du RGPD. Le responsable est dispensé de communiquer dans trois hypothèses, dont la réunion d’une seule suffit :

  • Première dérogation — la neutralisation préalable du risque par des mesures de protection appropriées. Le responsable est dispensé de communiquer lorsqu’il a mis en œuvre, avant la violation, des mesures de protection techniques et organisationnelles appropriées, appliquées aux données affectées, qui rendent celles-ci incompréhensibles pour toute personne non autorisée à y accéder. Tel est le cas, par excellence, du chiffrement des données par un algorithme de pointe dont la clé est demeurée intacte : la confidentialité des données étant en fait préservée, le risque élevé fait défaut.
  • Deuxième dérogation — la neutralisation postérieure du risque. Le responsable est également dispensé lorsqu’il a pris, postérieurement à la violation, des mesures garantissant que le risque élevé n’est plus susceptible de se matérialiser. Ainsi en va-t-il du responsable qui, ayant identifié et immédiatement neutralisé l’auteur d’un accès non autorisé avant qu’il n’ait pu exploiter les données, supprime la persistance du risque.
  • Troisième dérogation — l’effort disproportionné. Lorsque la communication individuelle exigerait des efforts disproportionnés, elle peut être remplacée par une communication publique ou par une mesure semblable permettant d’informer les personnes concernées de manière tout aussi efficace. La dérogation n’exonère donc pas le responsable de toute information : elle en aménage seulement les modalités, en substituant à la communication individuelle une information collective.

Ces dérogations appellent une double observation. D’une part, elles sont d’interprétation stricte et leur invocation suppose, en vertu du principe de responsabilité, que le responsable soit en mesure d’en démontrer la réunion. D’autre part, elles n’affectent que la communication aux personnes, et nullement l’obligation de documenter la violation ni, le cas échéant, celle de la notifier à l’autorité : un même incident peut ainsi devoir être documenté et notifié à la CNIL, sans pour autant donner lieu à communication individuelle.

3. La sanction du manquement aux obligations de notification

L’effectivité de ce dispositif tient à la sévérité des sanctions qui en garantissent le respect. La méconnaissance des obligations de notification — qu’il s’agisse de l’omission de notifier à l’autorité dans le délai imparti, du défaut de documentation ou de l’abstention injustifiée de communiquer aux personnes — constitue un manquement autonome, distinct de la violation de données elle-même. Il s’ensuit qu’un responsable peut se voir sanctionner non pour avoir subi une violation, qui peut survenir en dépit de mesures de sécurité diligentes, mais pour avoir manqué à l’alerter dans les formes et délais prescrits.

Exemple chiffré. En vertu de l’article 83, 4, a) du RGPD, les manquements aux articles 33 et 34 sont passibles d’une amende administrative pouvant s’élever jusqu’à 10 000 000 d’euros ou, pour une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Pour une entreprise réalisant un chiffre d’affaires mondial de 800 millions d’euros, le plafond atteint ainsi 16 millions d’euros — soit davantage que le plafond forfaitaire de 10 millions.

Cette sévérité confirme l’économie générale du dispositif : la transparence imposée au responsable du traitement n’est pas une simple formalité administrative, mais une obligation substantielle dont le manquement est, en lui-même, gravement réprimé. Elle justifie, en retour, la prudence recommandée par le Groupe de l’article 29 — notifier en cas de doute, documenter en toute hypothèse — qui constitue, pour le responsable, la meilleure protection contre le risque de sanction.

2. Exceptions

L’article 34, 3 définit trois conditions dans lesquelles la communication aux personnes concernées n’est pas nécessaire en cas de violation, à savoir :

  • Première condition
    • Le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel préalablement à la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès.
    • Cela pourrait par exemple inclure la protection des données à caractère personnel au moyen d’un chiffrement de pointe ou par tokénisation;
  • Deuxième condition
    • Le responsable du traitement a pris, immédiatement après la violation, des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se concrétiser.
    • Par exemple, en fonction des circonstances du cas d’espèce, le responsable du traitement peut avoir immédiatement déterminé et pris des mesures contre la personne ayant accédé aux données à caractère personnel avant qu’elle n’ait pu les utiliser.
    • Il convient cependant toujours de tenir compte des conséquences potentielles de toute violation de la confidentialité, toujours en fonction de la nature des données concernées.
  • Troisième condition
    • Contacter les personnes concernées exigerait des efforts disproportionnés
    • Par exemple si leurs coordonnées ont été perdues à la suite de la violation ou ne sont tout simplement pas connues.
    • Dans un tel cas, le responsable du traitement doit procéder à une communication publique ou prendre une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
    • En cas d’efforts disproportionnés, des dispositions techniques pourraient également être envisagées afin que les informations concernant la violation soient disponibles sur demande, ce qui pourrait se révéler utile pour les personnes éventuellement affectées par la violation, mais que le responsable du traitement n’est pas en mesure de contacter par un autre biais.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Image de Aurélien Bamdé

Aurélien Bamdé

🎓 Docteur en droit privé diplômé de l'Université Paris 2 Panthéon-Assas

⚖️ Titulaire du Certificat d'aptitude à la Profession d'Avocat

🏛️ Fondateur du site Gdroit