top of page
Rechercher

RGPD :que faire en cas de violation de données à caractère personnel ?

  • xdpo
  • 27 janv. 2023
  • 4 min de lecture

Dernière mise à jour : il y a 18 heures


Vous êtes dirigeant d'une PME, élu d'une petite commune ou responsable d'une association ? Vous entendez parler de "RGPD", de "NIS2" et de "cyberattaque" avec un sentiment d'angoisse. Vous vous dites peut-être : "C'est trop complexe", "Je n'ai pas de service juridique" ou "Je suis trop petit pour être une cible".


Pourtant, une simple erreur de destinataire sur un email ou la perte d'un ordinateur portable peut vite devenir un casse-tête : c'est une violation de données.


La panique face à une fuite de données est normale. La peur des sanctions RGPD est réelle. Mais la conformité n'est pas une montagne inaccessible.


Chez XDPO, nous sommes spécialisés dans l'accompagnement des structures comme la vôtre. Notre approche est pragmatique : pas de jargon inutile, mais des actions concrètes adaptées à vos ressources.


Cet article est conçu pour vous. Nous allons démystifier ce qu'est une violation de données, vous donner le plan d'action simple si cela arrive, et surtout, vous montrer comment la mise en conformité RGPD est le meilleur moyen de l'éviter.


Violation des données - cyber


👉Qu'est ce qu'une violation de données?


Oubliez l'image du hacker en capuche dans un film. Une violation de données, c'est bien plus simple et fréquent que ça.


Le RGPD définit une violation lorsque les données personnelles que vous gérez (celles de vos clients, membres, administrés ou salariés) perdent :


  • Leur Confidentialité : Une personne non autorisée y a eu accès.

    • Exemple concret : Vous envoyez par erreur un fichier Excel contenant la liste de vos adhérents (nom, email, adresse) au mauvais destinataire.

  • Leur Intégrité : Les données ont été modifiées ou détruites.

    • Exemple concret : Un virus endommage votre base de données clients, rendant les informations illisibles ou fausses.

  • Leur Disponibilité : Vous ne pouvez plus y accéder.

    • Exemple concret : Un "ransomware" bloque l'accès à votre serveur et vous demande une rançon. Ou plus simple : vous perdez la seule clé USB contenant les inscriptions.


Vous le voyez, cela peut résulter d'un acte malveillant (cyberattaque), mais très souvent, c'est un simple accident humain. Le mythe "je suis trop petit" est faux : si vous avez un fichier client, une liste de membres ou un registre d'état civil, vous êtes concerné.




⚠️Que faire si vous êtes responsable de traitement?


Je suis responsable de traitement lorsque mon organisation décide des finalités et des moyens du traitement.

Par exemple : Un responsable de traitement est une organisation qui décide de mener une campagne de promotion par email. C'est cette organisation qui décide de la finalité ("Faire une campagne de promotion auprès de ses prospects") et des moyens ("utiliser le logiciel d'emailing Sarbacane").

1️⃣ Documenter la violation de données en interne : Un registre des violations de données est à tenir et à compléter à chaque violation de données en déterminant :

  • La nature de la violation

  • Les catégories et le nombre de personnes concernées

  • Le nombre approximatif de données concernées

  • Les conséquences de la violation sur la vie privée des personnes concernées

  • Les mesures prises pour remédier à la violation de données.


2️⃣ Notifier la CNIL : Si la violation constitue un risque pour la vie privée des personnes concernées, vous devez notifier la violation de données à la CNIL dans un délai de 72h.


3️⃣ Notifier les personnes concernées : si et seulement si, la violation de données constitue un risque élevé pour la vie privée des personnes concernées, alors vous devez notifier la violation de données auprès de ces personnes.


Vous n'êtes tenu d'informer les personnes concernées que si la violation présente un risque élevé pour elles.


Cependant, même si le risque est élevé, vous n'avez pas à les contacter individuellement si :

  • Les données sont inutilisables (par exemple, l'ordinateur perdu était chiffré).

  • Vous avez agi assez vite pour neutraliser le risque (par exemple, en bloquant l'accès avant que les données ne soient vues).

  • Informer chaque personne demanderait un effort démesuré (dans ce cas, une communication publique peut suffire)


⚠️Que faire si vous êtes responsable conjoint de traitement ?


Je suis responsable de traitement conjoint lorsque mon organisation partage les décisions des finalités et moyens des traitements avec un autre organisme.


Par exemple : Un responsable de traitement conjoint est une organisation qui décide de mener une campagne de promotion par email en partenariat avec une autre organisation.

1️⃣ Notifier aux autres responsables de traitement : la notification doit être faite sans délais. Un responsable de traitement devra être désigné pour respecter l'obligation de notification de données personnelles (voir l'organisation du dessus).


2️⃣ Documenter la violation de données : chaque responsable de traitement tient et met à jour son registre des violations de données en déterminant :

  • La nature de la violation

  • Les catégories et le nombre de personnes concernées

  • Le nombre approximatif de données violées

  • Les conséquences de la violation sur la vie privée des personnes concernées

  • Les mesures prises pour remédier à la violation de données.


⚠️Que faire si vous êtes un sous-traitant?


Je suis sous-traitant lorsque mon organisme réalise un traitement de données sur instruction documentée et pour le compte d'un autre organisme.

Par exemple : Un sous-traitant est la plateforme d'emailing Sarbacane. Elle met en œuvre la campagne d'emailing sur les instructions du responsable de traitement qui détermine quelles cibles, quel message, quelle récurrence,...

1️⃣ Notifier au responsable de traitement : la notification doit être faite sans délais. L'obligation de notification de données personnelles repose sur le responsable de traitement.


2️⃣ Documenter la violation de données : même en tant que sous-traitant, vous devez tenir un registre des violations de données et le compléter dès que c'est nécessaire en déterminant :

  • La nature de la violation

  • Les catégories et le nombre de personnes concernées

  • Le nombre approximatif de données violées

  • Les conséquences de la violation sur la vie privée des personnes concernées

  • Les mesures prises pour remédier à la violation de données.




Vous venez de subir une violation de données et vous ne savez pas par quoi commencer ? Vous avez besoin d'accompagnement pour mettre en place votre conformité RGPD : contactez-nous!



Les internautes ont aussi consulté dans le Blog:


bottom of page