Lorsqu'une violation de données personnelles survient dans votre organisation, le chronomètre commence à courir dès l'instant où vous en prenez connaissance. Le Règlement (UE) 2016/679 (RGPD) impose un délai de 72 heures pour notifier l'Agence espagnole de protection des données (AEPD), et toutes les organisations ne savent pas quelles démarches entreprendre ni dans quel ordre. Cet article répond aux questions les plus fréquentes avec rigueur normative.
Qu'est-ce qu'une violation de données au sens du RGPD ?
L'article 4, paragraphe 12, du RGPD définit la violation de données à caractère personnel comme «une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données».
Cela couvre trois types d'incidents :
- Violation de la confidentialité : accès ou divulgation non autorisés de données personnelles (une cyberattaque exfiltrant des données, un courriel envoyé au mauvais destinataire, un document publié par erreur).
- Violation de l'intégrité : altération non autorisée ou accidentelle de données personnelles.
- Violation de la disponibilité : perte ou destruction de données personnelles (rançongiciel chiffrant des fichiers, défaillance d'un disque dur sans sauvegarde).
Un incident de sécurité qui n'affecte pas des données personnelles — par exemple, la mise hors service d'un serveur de production ne stockant aucune donnée personnelle — ne constitue pas une violation au sens du RGPD. En revanche, si ce serveur héberge un CRM contenant des données clients, une violation de disponibilité s'est bien produite.
Toute violation doit-elle être notifiée à l'AEPD ?
Non. L'article 33, paragraphe 1, du RGPD prévoit que la notification à l'autorité de contrôle est obligatoire sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. La règle pratique : en cas de doute raisonnable sur le risque, il convient de notifier. L'omission injustifiée de notification constitue une infraction susceptible d'entrer dans le cadre répressif de l'article 83 du RGPD (jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial, selon le type d'infraction).
L'AEPD met à disposition un outil indicatif d'évaluation du risque permettant de déterminer si un incident nécessite une notification. Il n'a pas de valeur contraignante, mais il documente le raisonnement suivi et réduit l'exposition de l'organisation si elle peut démontrer que la décision de ne pas notifier était motivée et documentée.
Que dit précisément l'article 33 du RGPD ?
L'article 33 du Règlement (UE) 2016/679 oblige le responsable du traitement à :
- Notifier la violation à l'autorité de contrôle compétente (en Espagne, l'AEPD) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.
- Lorsque la notification ne peut être effectuée dans ce délai, l'accompagner d'une indication des raisons du retard.
- Documenter toute violation de données à caractère personnel, qu'elle soit notifiée ou non, en précisant les faits, les effets et les mesures correctives prises.
Le sous-traitant (le prestataire traitant des données pour le compte du responsable) est tenu d'informer le responsable du traitement dans les meilleurs délais après avoir pris connaissance d'une violation (art. 33, par. 2, RGPD), mais n'est pas tenu de notifier directement l'AEPD : cette obligation incombe au responsable du traitement.
Quelles informations la notification à l'AEPD doit-elle contenir ?
L'article 33, paragraphe 3, du RGPD fixe le contenu minimal de la notification :
- La nature de la violation : type de violation (confidentialité, intégrité, disponibilité), catégories et nombre approximatif de personnes concernées, et catégories et nombre approximatif d'enregistrements de données concernés.
- Le nom et les coordonnées du délégué à la protection des données (DPO) ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues.
- Les conséquences probables de la violation.
- Les mesures prises ou envisagées par le responsable du traitement pour remédier à la violation, y compris pour en atténuer les éventuels effets négatifs.
L'article 33, paragraphe 4, autorise la fourniture d'informations de manière échelonnée et sans retard indu supplémentaire lorsqu'il n'est pas possible de les communiquer simultanément. En pratique, il vaut mieux notifier dans les délais avec des informations partielles — et les compléter par la suite — que d'attendre d'avoir toutes les données et de dépasser le délai de 72 heures.
Comment notifier l'AEPD ?
L'AEPD a mis en place un canal spécifique via son siège électronique. La procédure est intitulée «Notificación de brechas de seguridad» (Notification des violations de sécurité) et est accessible sur le siège électronique de l'AEPD. L'organisation doit s'identifier au moyen d'un certificat numérique ou du système Cl@ve et remplir le formulaire, dont la structure suit celle de l'article 33, paragraphe 3, du RGPD.
Il n'existe pas de modèle normalisé d'obligation légale au-delà du formulaire en ligne de l'AEPD, mais il est vivement recommandé de disposer en interne d'une fiche d'incident contenant : date et heure de détection, description de l'incident, données concernées, systèmes impliqués, mesures immédiates prises et personne responsable de la gestion.
Quand faut-il informer les personnes concernées de la violation ?
La communication aux personnes concernées est une obligation distincte et complémentaire à la notification à l'AEPD, régie par l'article 34 du RGPD. Cette communication est obligatoire lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le seuil est plus exigeant que pour la notification à l'autorité : il ne suffit pas qu'il y ait un risque ; ce risque doit être élevé.
Parmi les facteurs qui font monter l'évaluation du risque à «élevé» : implication de catégories particulières de données (santé, opinions politiques, origine raciale ou ethnique, infractions pénales), nombre élevé de personnes concernées, possibilité de préjudice financier ou social direct (usurpation d'identité, fraude financière), ou combinaison de données permettant un profilage étendu des individus.
La communication aux personnes concernées doit être effectuée dans les meilleurs délais (le RGPD ne fixe pas ici de délai en heures, mais l'AEPD recommande d'agir le plus tôt possible une fois la nature et l'étendue de la violation confirmées). Elle doit décrire, dans un langage clair et simple, la nature de la violation, ses conséquences probables et les mesures prises ou recommandées.
La communication aux personnes concernées n'est pas requise si l'une des exceptions de l'article 34, paragraphe 3, du RGPD s'applique : les données étaient chiffrées avec une clé robuste et inaccessible ; des mesures techniques ont été prises qui éliminent le risque ; ou la communication exigerait des efforts disproportionnés, auquel cas une communication publique est réalisée à la place.
Quel rôle joue le DPO dans la gestion d'une violation ?
Le délégué à la protection des données (DPO), dont la fonction est réglementée aux articles 37 à 39 du RGPD, doit être informé immédiatement lorsqu'une violation possible est détectée. Ses missions dans ce contexte incluent :
- Conseiller le responsable du traitement sur la question de savoir si l'incident constitue une violation au sens du RGPD et si une notification est requise.
- Coordonner l'évaluation du risque et identifier les données et les personnes concernées.
- Superviser la préparation et l'envoi de la notification à l'AEPD.
- Servir de point de contact avec l'AEPD pendant l'enquête.
- Documenter l'incident dans le registre interne des violations.
Un DPO est obligatoire dans les cas prévus à l'article 37 du RGPD : autorités et organismes publics, entités effectuant à grande échelle des traitements portant sur des catégories particulières de données, et entités dont l'activité principale implique un suivi systématique à grande échelle des personnes concernées. Toutefois, pour les organisations pour lesquelles un DPO n'est pas obligatoire, l'AEPD recommande également de désigner un point de contact interne pour la gestion des incidents.
Chez Summum Consultoría, nous accompagnons les organisations dans la gestion et la notification des violations de données, de la détection à la clôture de l'incident, avec des protocoles adaptés à la taille et au secteur de chaque organisation.
Que doit contenir le registre interne des violations ?
Indépendamment du fait que la violation soit notifiée ou non à l'AEPD, l'article 33, paragraphe 5, du RGPD oblige le responsable du traitement à documenter toutes les violations de données à caractère personnel. Le registre doit inclure, au minimum :
- Description des faits (ce qui s'est passé, quand, comment cela a été détecté).
- Effets de la violation (données concernées, nombre de personnes, conséquences observées).
- Mesures correctives prises (confinement, récupération, améliorations préventives).
- Décision relative à la notification à l'AEPD (avec justification si la notification n'a pas été jugée nécessaire).
- Décision relative à la communication aux personnes concernées (avec justification si la communication n'a pas été jugée nécessaire).
Ce registre n'a pas de format imposé, mais doit être suffisamment détaillé pour démontrer à l'AEPD — en cas d'enquête ultérieure — que l'organisation a agi avec diligence. La loi organique 3/2018 du 5 décembre (LOPDGDD) complète le RGPD dans le droit espagnol sans modifier ce régime de notification.
Questions fréquentes
Les 72 heures courent-elles dès la survenance de la violation ou dès sa détection ?
Le délai de 72 heures commence à courir à compter du moment où le responsable du traitement prend connaissance de la violation, et non à partir du moment où elle s'est produite. Cela est pertinent dans le cas d'attaques ayant pu débuter plusieurs jours avant d'être détectées : le délai court à partir de la détection. Cela étant, les organisations doivent disposer de systèmes de détection raisonnables ; invoquer l'ignorance alors que des signaux évidents existaient ne suffit pas à dégager la responsabilité.
Si la violation est détectée un vendredi soir, le délai est-il suspendu pendant le week-end ?
Non. Le délai de 72 heures de l'article 33, paragraphe 1, du RGPD est un délai en heures calendaires, non en heures ouvrées. Une violation détectée le vendredi à 20 h 00 doit être notifiée au plus tard le lundi à 20 h 00. Le siège électronique de l'AEPD est accessible 24 heures sur 24. Cela renforce la nécessité de disposer de protocoles internes activables en dehors des heures de bureau.
Que se passe-t-il si la notification est transmise avec retard ?
Une notification tardive doit néanmoins être soumise ; elle doit être accompagnée d'une explication des raisons du retard (art. 33, par. 1, RGPD, dernière phrase). L'AEPD valorise positivement la transparence et la coopération. En revanche, l'omission totale d'une notification obligatoire peut être sanctionnée dans le cadre de l'article 83 du RGPD, avec des amendes pouvant aller jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
L'AEPD peut-elle ouvrir une enquête même si l'organisation a notifié dans les règles ?
Oui. La notification ne met pas l'organisation à l'abri d'une enquête. L'AEPD peut ouvrir des procédures d'office pour vérifier si des mesures techniques et organisationnelles adéquates étaient en place avant et après la violation. Toutefois, avoir notifié dans les délais et de manière complète, et avoir documenté correctement l'incident, sont des éléments dont l'AEPD tient compte pour apprécier la diligence de l'organisation.
Si un prestataire cloud subit une violation, doit-il notifier l'AEPD ?
Si ce prestataire agit en qualité de sous-traitant (traitement de données pour le compte du responsable), son obligation est d'informer le responsable du traitement dans les meilleurs délais, mais pas l'AEPD directement. La notification à l'AEPD incombe au responsable du traitement. C'est pourquoi les contrats conclus avec des prestataires cloud doivent inclure des clauses de traitement des données qui règlent expressément la procédure interne de notification des incidents et les délais maximaux de réponse.
Si vous souhaitez revoir vos protocoles de réponse aux violations ou avez besoin d'un accompagnement pour gérer un incident en cours, l'équipe protection des données de Summum Consultoría est disponible pour les organisations en Castille-et-León et aux Îles Canaries.