Lors de notre précédent article sorti le 1er février 2018, nous avions mis en avant une nouvelle notion issue du Règlement (UE) 2016/679 (ou RGPD), celle du DPIA. Le présent article va aborder le thème de la violation de données à caractère personnel définie comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données », au sein duquel seront présentés successivement les risques pesant sur les individus-personnes physiques ainsi que les obligations envers le responsable du traitement.

Quels sont les risques encourus par les individus ?

De manière « insouciante », les entreprises sous-traitent l’hébergement des données qu’elles collectent au sein de puissant DATACENTER (portes d’accès sécurisées, présence humaine 24/7). Néanmoins, les dispositifs de sécurité ne sont pas sans failles, si bien qu’il est arrivé à de nombreuses reprises que des cyberattaques révèlent aux yeux de tous, les données personnelles de milliers d’individus.

Les personnes physiques dont les données personnelles sont en cause sont donc les premières victimes de la violation de leurs données. Comme exposés dans notre précédent article[1], ces impacts peuvent être d’ordre corporel, matériel ou moral. À titre exemplatif, ces violations ont notamment entraîné des suicides aux États-Unis et au Canada suite à la fuite de données issues d’un site de rencontre.

Le RGPD classe ainsi, les violations en trois catégories, selon leur gravité vis-à-vis de l’individu et la probabilité de survenance. La 1re catégorie regroupe ainsi les situations sans aucun risque pour l’individu, la 2de catégorie, celles présentant un risque et enfin la 3e, les situations présentant un risque élevé (violation données sensibles, notamment.).

Quelles sont Les obligations du responsable du traitement, en cas de violation de données à caractère personnel ?

En cas de violation et en vertu du principe d’« accountability » du responsable du traitement des données, ce dernier doit tenir un registre recensant toute information relative à la violation de données personnelles. Ainsi, il lui appartient de documenter « toute violation de données à caractère personnel en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier » (article 33.5 du RGPD), et ce même si la violation ne présente aucun risque pour les droits et libertés des individus concernées. La CNPD, en qualité d’autorité de contrôle pourra ensuite vérifier la tenue du registre.

La réaction du responsable du traitement, voire du sous-traitant, devra être proportionnelle au risque encouru par la personne physique victime de la violation de ses données.

Ainsi, si aucun risque ne pèse sur cette dernière, le responsable du traitement n’a aucune obligation au regard du RGPD et de la victime, hormis d’inscrire la violation dans le registre des violations précitées et d’expliquer pourquoi il a classé la violation dans la catégorie sans risque.

En revanche, si la violation entraîne un risque à l’égard des droits et libertés des personnes, le responsable du traitement aura l’obligation de notifier à l’autorité de contrôle compétente ladite violation dans les meilleurs, et dans la mesure du possible, 72 heures après en avoir pris connaissance (article 33.1 du RGPD). En cas de retard, cette notification doit être accompagnée des motifs dudit retard. Si le responsable du traitement a recours à un sous-traitant, ce dernier est soumis aux mêmes obligations et devra lui remettre une notification de violation dans les meilleurs délais (article 33.2).

Enfin, si la violation des données est susceptible d’engendrer un risque élevé pour les droits et libertés individuels, le responsable du traitement doit, en plus, notifier cette violation à la personne concernée dans les meilleurs délais (article 34.1). L’objectif est d’informer au plus vite l’individu, du mauvais traitement de ses données, afin de lui permettre de prendre les mesures nécessaires pour limiter toutes répercussions pouvant porter davantage atteinte à sa vie privée.

Ainsi, les notifications à la CNPD et à la personne physique concernée ne sont pas systématiques. Le responsable du traitement, détendeur d’un registre des violations, a néanmoins la lourde responsabilité d’apprécier et d’évaluer le risque encouru et d’agir en conséquence de manière proportionnée.

 

L’Étude MARTIN AVOCATS, membre de l’Association pour la Protection des données à Luxembourg (APDL), œuvre dès à présent pour vous soutenir dans le cadre de vos démarches, solutions de diagnostic et mise en conformité de vos traitements au RGPD, et se met à votre disposition pour répondre efficacement à toutes vos questions, adapter tous vos contrats et faire le point sur la procédure la plus adaptée à votre activité.

 


[1] MARTIN AVOCATS, Le « DPIA », nouveau concept contraignant en matière de protection de données personnelles, février 2018.