Une adresse e-mail envoyée au mauvais destinataire, un ordinateur portable volé, une base clients exposée en ligne : les violations de données personnelles ne concernent pas seulement les grandes cyberattaques. Au sens du RGPD, elles recouvrent des situations très diverses, parfois discrètes, mais susceptibles d’affecter directement les droits et libertés des personnes.
Le Règlement général sur la protection des données définit la violation de données personnelles comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles, ou l’accès non autorisé à ces données. Cette définition figure à l’article 4, point 12, du RGPD.
Autrement dit, il ne s’agit pas seulement d’un piratage informatique spectaculaire. Une erreur humaine, une mauvaise configuration technique ou une procédure interne insuffisante peuvent aussi constituer une violation. Ce qui compte, c’est l’existence d’un incident de sécurité ayant un impact sur des données permettant d’identifier directement ou indirectement une personne physique.
Une violation peut d’abord porter sur la confidentialité. C’est le cas lorsqu’une personne non autorisée accède à des données personnelles. Par exemple, un fichier contenant les coordonnées de clients envoyé par erreur à un prestataire non concerné, ou un espace en ligne mal protégé laissant apparaître des factures nominatives.
Elle peut aussi toucher à l’intégrité des données, lorsqu’elles sont modifiées de façon non autorisée ou incorrecte. Si un incident technique altère les informations médicales d’un patient ou modifie les coordonnées bancaires d’un fournisseur, les conséquences peuvent être importantes. Enfin, la violation peut concerner la disponibilité : des données deviennent inaccessibles, temporairement ou définitivement, à la suite d’une panne, d’un rançongiciel ou d’une suppression accidentelle.
Dans une entreprise, une violation de données personnelles peut survenir lorsqu’un salarié perd une clé USB contenant des bulletins de paie non chiffrés. Dans une collectivité, elle peut résulter de la publication involontaire d’un fichier listant les bénéficiaires d’une aide sociale. Dans une association, un simple envoi d’e-mail groupé sans copie cachée peut révéler l’identité de membres ou de donateurs à l’ensemble des destinataires.
Les incidents informatiques sont également fréquents. Une attaque par hameçonnage peut permettre à un tiers de prendre le contrôle d’une messagerie professionnelle et d’accéder à des échanges contenant des données sensibles. Un serveur mal configuré peut exposer des milliers de dossiers clients. Même lorsqu’il n’y a pas d’intention malveillante, l’organisation doit analyser les faits et déterminer si l’incident entre dans la définition RGPD.
Toute faille de sécurité n’est pas automatiquement une violation de données personnelles. Si une vulnérabilité est détectée avant tout accès ou toute perte de données, il peut s’agir d’un risque à corriger, sans violation avérée. En revanche, si cette faille a permis l’accès à des informations personnelles, le régime spécifique du RGPD s’applique.
Il faut aussi distinguer la violation de données d’une non-conformité plus générale. Traiter des données sans base juridique valable est un problème de conformité, mais pas nécessairement une violation de données au sens strict. La qualification du traitement dépend notamment de la finalité poursuivie et de son fondement juridique, comme l’explique l’analyse de la base légale applicable à un traitement de données. Une organisation peut donc être non conforme sans avoir subi d’incident de sécurité, et inversement.
Lorsqu’un incident survient, la première étape consiste à le qualifier rapidement. Il faut identifier les données concernées, le nombre approximatif de personnes touchées, la durée de l’exposition, les causes probables et les mesures déjà prises. Cette analyse doit être documentée, même si l’organisation conclut finalement qu’aucune notification à l’autorité de contrôle n’est nécessaire.
Le RGPD impose au responsable de traitement de notifier la violation à la CNIL dans un délai de 72 heures après en avoir pris connaissance, sauf si l’incident n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Cette obligation s’inscrit dans une logique de responsabilité démontrable, étroitement liée au principe d’accountability prévu par le RGPD. Le sous-traitant, lui, doit informer le responsable de traitement dans les meilleurs délais après avoir constaté une violation.
Informer la CNIL ne signifie pas toujours informer directement les personnes concernées. Cette communication devient obligatoire lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. C’est le cas, par exemple, si des mots de passe, des données bancaires, des informations de santé ou des documents d’identité ont été compromis.
L’information doit être claire, compréhensible et utile. Elle doit indiquer la nature de la violation, les conséquences possibles, les mesures prises par l’organisation et les recommandations permettant aux personnes de se protéger, comme changer un mot de passe ou surveiller des mouvements bancaires. Lorsque le traitement repose sur l’accord des personnes, la qualité de l’information fournie en amont reste essentielle, notamment dans les situations où le consentement explicite en matière de RGPD conditionne la licéité du traitement.
L’évaluation du risque doit être concrète. Elle dépend de la nature des données, du volume concerné, du contexte de l’incident et de la facilité avec laquelle les personnes peuvent être identifiées. Une liste d’adresses e-mail professionnelles exposée n’a pas le même niveau de gravité qu’un fichier contenant des diagnostics médicaux, des revenus, des numéros de sécurité sociale ou des copies de pièces d’identité.
Les conséquences possibles doivent également être prises en compte : usurpation d’identité, fraude, atteinte à la réputation, discrimination, perte financière ou préjudice moral. Pour certains traitements présentant un risque élevé dès leur conception, une analyse d’impact sur la protection des données permet d’anticiper les scénarios d’incident et de renforcer les garanties avant qu’un problème ne survienne.
La prévention repose autant sur la technique que sur l’organisation. Chiffrement des supports, authentification forte, gestion rigoureuse des habilitations, sauvegardes régulières, mises à jour de sécurité et journalisation des accès font partie des mesures courantes. Mais elles ne suffisent pas sans formation des équipes, procédures claires et réflexes partagés en cas d’incident.
La connaissance des traitements est également déterminante. Une organisation ne peut pas réagir efficacement si elle ignore où se trouvent ses données, qui y accède et combien de temps elles sont conservées. Le registre des traitements de données personnelles joue ici un rôle central : il aide à cartographier les flux, à identifier les responsables internes et à documenter les mesures de sécurité. Face à une violation, cette traçabilité fait souvent la différence entre une réaction maîtrisée et une gestion approximative.
