Obligation de notifier les violations de données

Obligation de notifier les violations de données

APDP | 23 janvier 2025

Conformément à l’article 32 de la Loi, le Responsable du traitement doit notifier à l’APDP toute violation des données à caractère personnel dont il a connaissance dès lors que celle-ci est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

Cette notification peut également être accompagnée, dans certains cas, d’une communication auprès des personnes concernées par cette violation.

 

Qu’est-ce qu’une violation de données ?

Conformément aux trois principes de sécurité classiques, les violations de données peuvent être classées en trois catégories :

• les «  violations de la confidentialité » : en cas de divulgation ou d’accès non autorisés ou accidentels à des données personnelles ;

Exemple  : vol de l’ordinateur portable professionnel d’un avocat contenant les dossiers de ses clients

• les «  violations de l’intégrité » : en cas d’altération non autorisée ou accidentelle de données personnelles ;

Exemple  : un tiers non autorisé accède à un fichier et en modifie le contenu

• les «  violations de la disponibilité » : en cas de destruction ou de perte accidentelle des données, ou si elles ne sont plus accessibles

Exemple  : une attaque rend complétement inexploitables les données d’une société en les cryptant

 

Qu’entend-on par « violation susceptible d’engendrer un risque pour les droits et libertés » ?

Dans certains cas, la violation peut n’avoir aucune conséquence sur les droits et libertés des personnes concernées.  Elle n’a alors pas à être notifiée à l’APDP.

Exemples  : les données personnelles concernées par la violation sont déjà disponibles pour le public ;  la suppression de données sauvegardées et immédiatement restaurées ; la perte de données protégées par un algorithme de chiffrement à l’état de l’art, si la clé de chiffrement n’est pas compromise et si une copie des données reste disponible.

 

Quand procéder à la notification de la violation à l’APDP ?

Une fois qu’il a connaissance de la violation, le responsable du traitement doit la notifier à l’APDP dans les meilleurs délais, et si possible dans un délai maximum de 72 heures après en avoir pris connaissance.

 

Que doit contenir la notification faite à l’APDP ?

La notification faite à l’APDP doit contenir les informations suivantes :

• la nature de la violation y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées par la violation ;
• le nom et les coordonnées du délégué à la protection des données lorsque celui-ci a été désigné ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• les conséquences probables de la violation ;
• les mesures prises ou celles que le responsable du traitement propose de prendre pour remédier à la violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

 

 

Dans quel cas la communication aux personnes concernées doit-elle être effectuée ?

Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit également communiquer cette violation à la personne concernée dans les meilleurs délais.

L’appréciation du risque élevé se fait à la lumière d’un incident particulier et repose sur les conséquences qui pourraient en découler.

Elle tient ainsi compte, notamment :

• du type de violation ; 
• du caractère sensible ou du volume des données ; 
• de la facilité d’identification des personnes concernées ; 
• de la gravité des conséquences pour les personnes concernées ;
• de la probabilité qu’elle se reproduise.

La communication d’une violation de données n’a pas à être effectuée si l’une des 3 conditions suivantes est remplie : 

• les données affectées  par la violation ont préalablement fait l’objet de mesures de protection technique et organisationnelle qui rendent lesdites données incompréhensibles pour toute personne n’étant pas autorisée à y accéder ;

Exemple  : chiffrement des données

• le devoir d’informer individuellement la personne concernée nécessiterait des efforts disproportionnés ;

Exemple  : le responsable du traitement n’a aucune information permettant de contacter les personnes

Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

• les mesures ultérieures prises par le responsable du traitement garantissent que le risque n’est plus susceptible de se matérialiser.

Exemple  : réinitialisation de mots de passe qui ont été volés

 

Que doit contenir l’information faite aux personnes concernées ?

L’information aux personnes concernées doit décrire la nature de la violation en des termes clairs et doit contenir les informations suivantes :

• le nom et les coordonnées du délégué à la protection des données lorsque celui-ci a été désigné ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• les conséquences probables de la violation ;
• les mesures prises ou celles que le responsable du traitement propose de prendre pour remédier à la violation.

 

 

Quelle est la sanction encourue en cas de manquement à l’obligation de notifier une violation de données ?

L’article 53 de la Loi prévoit que le manquement à l’obligation de notifier une violation de données est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.