CAJI
La gestion d’une violation de données n’est pas d’abord un sujet de communication. C’est un sujet de qualification juridique rapide, de traçabilité, de pilotage opérationnel, puis de notification graduée. En droit européen, le point d’entrée est clair : une violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données, ou l’accès non autorisé à de telles données. Cette définition vient du RGPD lui-même, et elle est plus large qu’un simple piratage : elle couvre aussi l’envoi à un mauvais destinataire, la perte d’un support, une mauvaise configuration, une indisponibilité prolongée ou une altération de données. (EUR-Lex)
Pour un DPO ou un RSSI, la bonne méthode n’est donc pas de demander seulement : “avons-nous été attaqués ?”, mais plutôt : “y a-t-il eu atteinte à la confidentialité, à l’intégrité ou à la disponibilité de données personnelles ?” Les lignes directrices du CEPD/EDPB rappellent précisément que les violations peuvent relever de trois grandes familles : confidentialité (accès ou divulgation non autorisés), intégrité (modification non autorisée ou corruption), et disponibilité (perte d’accès, destruction ou indisponibilité). Une panne, un chiffrement par rançongiciel, un effacement non récupérable ou une altération de base de données peuvent donc entrer pleinement dans le champ de l’obligation d’analyse, même sans fuite publique apparente. (EDPB)
Le régime juridique repose ensuite sur une distinction fondamentale. La notification à la CNIL relève de l’article 33 du RGPD. Elle est obligatoire sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. L’information des personnes concernées relève de l’article 34. Elle devient obligatoire lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Il y a donc trois niveaux de décision : pas de risque notable, notification à l’autorité seulement, ou notification à l’autorité plus communication aux personnes. (EUR-Lex)
Le délai de 72 heures doit être compris avec précision. Le RGPD prévoit que le responsable du traitement notifie la violation à l’autorité de contrôle “dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance”. Ce point est souvent mal lu. Le délai ne court pas à partir de la date de l’incident technique lui-même, mais à partir du moment où le responsable du traitement est raisonnablement en mesure de considérer qu’une violation de données personnelles s’est produite. La CNIL rappelle en outre qu’en cas de doute, il vaut mieux notifier dans le délai avec des éléments encore partiels, quitte à compléter ensuite. (CNIL)
Concrètement, la première exigence opérationnelle est donc la mise en place d’un horodatage de la prise de connaissance. Il faut pouvoir démontrer quand l’organisation a identifié, non pas un simple incident informatique, mais un incident emportant potentiellement violation de données personnelles. En pratique, le dossier doit faire apparaître : l’heure de détection, l’heure d’escalade au RSSI, l’heure d’analyse conjointe RSSI/DPO/juridique, l’heure à laquelle la qualification “violation de données” a été retenue, et l’heure de la décision de notifier ou non. Le RGPD impose par ailleurs de documenter toute violation, y compris celles qui ne sont pas notifiées, afin que l’autorité puisse vérifier le respect de l’article 33. (EUR-Lex)
Le bon réflexe, dans les premières heures, est de séparer trois questions. Premièrement : que s’est-il passé techniquement ? Deuxièmement : quelles données personnelles sont concernées ? Troisièmement : quels effets possibles sur les personnes ? C’est seulement à partir de cette troisième question que l’on peut qualifier le niveau de risque au sens du RGPD. Le CEPD insiste sur le fait que l’analyse ne doit pas se limiter au volume de données ou au prestige de l’attaque, mais au préjudice possible pour les personnes : usurpation d’identité, fraude, perte financière, discrimination, atteinte à la réputation, atteinte au secret professionnel, perte de confidentialité de données sensibles, ou exposition accrue de personnes vulnérables. (EDPB)
La qualification du risque doit être raisonnée et tracée. En pratique, il faut croiser au moins six critères. D’abord, la nature des données : données d’identité, coordonnées, données bancaires, identifiants, mots de passe, données de santé, données sociales, données pénales, données de localisation, données relatives à des mineurs. Ensuite, la facilité d’identification des personnes. Puis le volume et le nombre de personnes touchées. Il faut aussi tenir compte de la facilité d’usage malveillant des données, du contexte du traitement, et enfin de la vulnérabilité particulière des personnes concernées. Les lignes directrices européennes insistent justement sur cette approche contextuelle, et non mécanique. (EDPB)
On peut résumer la logique de décision ainsi. Si l’incident concerne, par exemple, un fichier chiffré, non lisible, sans clé compromise, et sans autre élément laissant penser à un accès exploitable, l’organisation peut conclure à l’absence de risque ou à un risque très faible, sous réserve d’une documentation robuste. À l’inverse, la compromission de comptes utilisateurs, l’exfiltration de données de santé, la fuite de pièces d’identité, l’accès à des mots de passe non hachés, ou la divulgation de données touchant des mineurs ou des personnes vulnérables orientent beaucoup plus rapidement vers un risque élevé, donc vers l’information des personnes en plus de la notification à la CNIL. Cette logique découle directement des articles 33 et 34 et des exemples donnés par les lignes directrices européennes. (EUR-Lex)
La procédure interne devrait suivre une chronologie stricte. Étape 1 : containment technique. Le RSSI ou l’équipe sécurité isole le système, préserve les preuves, coupe les accès compromis, vérifie les sauvegardes, et réduit l’extension de l’incident. Étape 2 : qualification données personnelles. Le DPO, avec les métiers et la sécurité, identifie les traitements concernés, les catégories de données, les personnes potentiellement touchées et la réalité de l’accès ou de l’exposition. Étape 3 : qualification du risque. Étape 4 : décision de notification CNIL. Étape 5 : décision de communication aux personnes si risque élevé. Étape 6 : documentation complète et mesures correctives. Cette structuration n’est pas un luxe organisationnel ; elle est ce qui permet de justifier la conformité en cas de contrôle. (CNIL)
Le sous-traitant a, lui aussi, une obligation propre. Le RGPD prévoit qu’en cas de violation de données à caractère personnel, le sous-traitant notifie la violation au responsable du traitement dans les meilleurs délais après en avoir pris connaissance. Cela signifie qu’un prestataire d’hébergement, d’infogérance, de paie, de CRM ou de sécurité managée ne notifie pas directement “à la place” du responsable, sauf organisation particulière, mais doit alerter très rapidement le responsable du traitement pour lui permettre de tenir son propre délai de 72 heures. En pratique, cela implique des clauses contractuelles précises d’escalade et de remontée d’incident. (EUR-Lex)
Le contenu minimal de la notification à la CNIL est lui aussi encadré par l’article 33 §3. Il faut au moins décrire la nature de la violation, y compris si possible les catégories et le nombre approximatif de personnes concernées et d’enregistrements concernés ; communiquer le nom et les coordonnées du DPO ou d’un autre point de contact ; décrire les conséquences probables de la violation ; et décrire les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets négatifs. Si toutes les informations ne sont pas disponibles immédiatement, elles peuvent être fournies de manière échelonnée, sans retard injustifié. (EUR-Lex)
La CNIL indique expressément que la notification se fait via son téléservice de notification des violations. Elle rappelle aussi qu’en cas de doute, il est préférable de notifier, quitte à compléter ensuite, voire à corriger la qualification si l’incident ne s’avère finalement pas constitutif d’une violation avérée. Cette approche est très importante pour les équipes opérationnelles : le danger juridique vient moins d’une notification prudente et complétée ensuite que d’un retard injustifié ou d’une absence totale de traçabilité de la décision. (CNIL)
L’information des personnes concernées répond à une logique différente : elle ne sert pas à satisfaire l’autorité, mais à permettre aux individus de se protéger. L’article 34 impose donc une communication “dans les meilleurs délais” lorsque la violation est susceptible d’engendrer un risque élevé. Cette communication doit décrire, en des termes clairs et simples, la nature de la violation, le point de contact, les conséquences probables et les mesures prises ou recommandées pour atténuer les effets. L’objectif pratique est double : transparence et capacité d’action des personnes. (EUR-Lex)
Il existe toutefois trois grandes hypothèses dans lesquelles la communication aux personnes n’est pas exigée malgré une violation. Premièrement, lorsque des mesures techniques et organisationnelles appropriées avaient été mises en œuvre avant la violation, notamment des mesures rendant les données incompréhensibles à toute personne non autorisée, comme un chiffrement robuste. Deuxièmement, lorsque des mesures ultérieures ont été prises de sorte que le risque élevé n’est plus susceptible de se matérialiser. Troisièmement, lorsque la communication exigerait des efforts disproportionnés ; dans ce cas, une communication publique ou une mesure équivalente doit être mise en place. Ces exceptions sont strictement prévues par l’article 34 §3 du RGPD. (EUR-Lex)
Il faut ici être très prudent avec l’argument du chiffrement. Toutes les données “techniquement protégées” ne sont pas nécessairement à l’abri d’une information aux personnes. Tout dépend de la robustesse du mécanisme, de la séparation des clés, de l’absence de compromission corrélée, et de la capacité réelle d’un tiers à exploiter les données. Les lignes directrices européennes insistent sur le fait que l’exception n’est valable que si les données sont effectivement rendues inintelligibles à une personne non autorisée. Un chiffrement faible, mal implémenté ou accompagné d’une compromission des clés ne sécurise pas l’analyse. (EDPB)
Du point de vue rédactionnel, la communication aux personnes doit être utile, pas seulement prudente. Elle doit dire ce qui s’est passé, ce que cela implique concrètement, quelles données sont concernées, ce que l’organisation a déjà fait, et ce que la personne doit faire elle-même : changer de mot de passe, activer la double authentification, surveiller ses relevés bancaires, se méfier de courriels de phishing, renouveler certains identifiants si nécessaire, ou contacter un support dédié. Un message trop vague protège mal les personnes et expose l’organisation à une critique sur le fond, même s’il remplit formellement l’obligation d’information. Cette orientation est cohérente avec l’exigence de clarté de l’article 34 et avec l’approche CNIL de l’information des personnes. (EUR-Lex)
Il ne faut pas oublier l’obligation souvent négligée de documentation interne systématique. Même lorsqu’aucune notification n’est effectuée, le responsable du traitement doit conserver une trace de la violation, de ses faits, de ses effets et du raisonnement ayant conduit à conclure qu’elle n’était pas susceptible d’engendrer un risque. C’est un point essentiel en contrôle CNIL : l’absence de notification peut être licite ; l’absence de démonstration de cette décision l’est beaucoup moins. Les lignes directrices européennes recommandent donc la tenue d’un registre interne des violations, articulé avec les procédures sécurité, DPO et gestion de crise. (CNIL)
Pour un DPO et un RSSI, la meilleure pratique consiste à formaliser une fiche réflexe de crise RGPD. Elle doit contenir : l’identité de la cellule décisionnelle, le circuit d’escalade, les critères de qualification, la liste des catégories de données à forte sensibilité, les points de contact prestataires, le modèle de notification CNIL, le modèle de message aux personnes, la méthode de conservation des preuves, et le registre interne des violations. La CNIL rappelle d’ailleurs, dans ses ressources de conformité, qu’il faut anticiper ce moment et savoir “que faire en cas de violation de données”. (CNIL)
En pratique, certains incidents appellent presque toujours une analyse renforcée : envoi massif d’e-mails visibles en clair, fuite de pièces d’identité, compromission de messagerie dirigeant ou RH, rançongiciel avec exfiltration, base client exposée sur internet, accès externe à des comptes d’administration, erreur d’habilitation donnant accès à des dossiers sociaux ou médicaux, ou perte d’ordinateur portable non chiffré. À l’inverse, un incident purement technique sans donnée personnelle, ou un événement circonscrit n’emportant aucun impact plausible sur les droits et libertés, peut rester dans la sphère sécurité sans notification RGPD — mais seulement après qualification documentée. Cette distinction découle directement du seuil de risque fixé par l’article 33. (EUR-Lex)
Il faut enfin signaler un point de vigilance contentieux. Le respect du délai de notification ne suffit pas à lui seul à démontrer la conformité globale. Les articles 32 à 34 du RGPD forment un ensemble : sécurité appropriée, détection, gestion de l’incident, notification et, le cas échéant, information des personnes. Une violation peut donc révéler à la fois un problème de notification et un problème de sécurité antérieure insuffisante. Une décision de justice de la Cour de justice de l’Union européenne rendue le 30 avril 2025 s’inscrit d’ailleurs dans ce cadre général en traitant l’articulation des obligations de sécurité et de notification prévues aux articles 32 à 34 du RGPD. (EUR-Lex)
En synthèse, la méthode correcte est la suivante : détecter vite, qualifier vite, notifier vite si le seuil de risque est atteint, informer les personnes si le risque est élevé, et documenter dans tous les cas. Le vrai cœur du dispositif n’est pas seulement le délai de 72 heures ; c’est la qualité du raisonnement de risque et la capacité à démontrer, dossier à l’appui, pourquoi l’organisation a notifié, complété, informé — ou non. C’est là que se joue, en pratique, la solidité d’une réponse RGPD à une violation de données. (CNIL)
Add comment