Mickaël Tome et Cyril Pierre-Beausse - Avocats à la Cour - Etude /c law /C Law

Mickaël Tome et Cyril Pierre-Beausse - Avocats à la Cour - Etude /c law /C Law

Depuis l’entrée en application du Règlement général sur la protection des données (RGPD), les violations de données personnelles doivent, dans certains cas, être signalées à la CNPD. La gestion de tels incidents fait donc désormais partie de la culture de gestion des risques de toute organisation.

Une violation de données est une rupture de sécurité entraînant une destruction, perte, altération ou divulgation accidentelle, non autorisée ou illicite, de données personnelles. Le RGPD oblige le responsable du traitement à signaler ce type d’incident à la CNPD. Cette règle est inspirée d’une obligation européenne en matière de télécommunications datant de 2002.

La détection d’un incident doit conduire l’organisation à concentrer ses efforts sur sa résolution en adoptant toute mesure appropriée pour remédier à une éventuelle violation et en limiter les conséquences pour les personnes dont les données sont affectées. Ces mesures ne doivent cependant pas occulter la nécessité pour l’organisation d’évaluer en parallèle si elle doit notifier ou non l’incident à la CNPD. En effet, l’obligation de notification est assortie de lourdes sanctions en cas de manquement.

Or, cette évaluation n’est pas toujours aisée. Tout d’abord, le RGPD prévoit un délai très contraint pour la notification, à savoir «dans les meilleurs délais et, si possible, […] 72h au plus tard après […] avoir pris connaissance [de l’incident]». Il est donc essentiel de déterminer le point de départ précis de ce délai. Or, il peut y avoir un écart entre la détection d’un incident et le constat d’une véritable violation de données.

La nature et la gravité de l’incident et ses conséquences pour les personnes concernées sont des facteurs cruciaux. Il semble qu’une lecture stricte soit de rigueur, les autorités européennes ayant déjà retenu «qu’un responsable du traitement [a] pris ‘connaissance’ lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit [et] a compromis» des données personnelles. Or, selon les cas, des vérifications (donc des délais) pourront être nécessaires afin d’établir si une violation de données a eu lieu. Dès lors, une notification à la CNPD ne devrait pas être exigible immédiatement lorsque l’organisation a détecté ou a été informée d’un incident et effectue une enquête préliminaire à bref délai pour déterminer si une violation de données s’est produite.

S’il reste indispensable d’agir prestement, le délai de 72h n’est donc pas absolument intangible. Il est toutefois crucial de pouvoir démontrer, au moyen d’une documentation appropriée, que l’organisation a fait preuve d’une réactivité suffisante dans la détection, l’investigation et la résolution d’une violation de données.

Par ailleurs, l’organisation n’est pas tenue de notifier un incident dont elle peut démontrer qu’il n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Le RGPD accorde donc une certaine marge de manœuvre aux organisations et n’impose pas de signaler le moindre incident, même si la CNPD indique que, dans le doute, il est préférable de notifier. Selon nous, il ne devrait pas être obligatoire de notifier une violation notamment si les données en cause sont cryptées et donc illisibles et qu’aucun risque réel n’est encouru. C’est d’ailleurs ce qu’avait recommandé la Commission compétente du Parlement européen lors des discussions préparatoires à l’adoption du RGPD.

En outre, le RGPD oblige à mettre en place un cadre contractuel visant à permettre au responsable de traitement de satisfaire à ses obligations en cas de violation de données identifiée par un sous-traitant. Dans un tel cas, le sous-traitant doit informer le responsable (et non la CNPD directement) de toute violation de données «dans les meilleurs délais après en avoir pris connaissance».

Or, le délai de 72h qui pèse sur le responsable ne commence à courir que lorsque son sous-traitant l’a informé d’un incident. Il est donc dans l’intérêt du responsable que cette information n’intervienne pas de manière précipitée. À ce titre, il est dommage que certains responsables imposent des délais fixes (et souvent très brefs) au sous-traitant dans leurs contrats de sous-traitance. Le RGPD oblige le sous-traitant à informer le responsable «dans les meilleurs délais», des délais qui ne sont d’ailleurs pas à imputer au délai de 72h imparti à ce dernier. Cette formulation volontairement floue peut et doit être interprétée comme une flexibilité que le législateur européen a souhaité introduire. Le sous-traitant pourra ainsi diligenter une investigation utile et en communiquer les conclusions rapidement, mais sans précipitation, au responsable. Ce dernier pourra ainsi conduire sa propre analyse sur des bases solides et évaluer s’il est requis ou non de notifier à la CNPD, voire d’informer les personnes concernées en cas de risque élevé pour leur vie privée.

En pratique, il est essentiel de convenir avec le sous-traitant de règles d’information efficaces et de mettre en place dans l’organisation une procédure de gestion des incidents intégrant les délais très courts imposés par la loi. Idéalement, une cellule de crise devra être mise en place et des mesures d’urgence prises pour remédier aux violations et en atténuer les conséquences.

Mickaël Tome et Cyril Pierre-Beausse

Articles Associés