Violation de données personnelles : types et obligations RGPD

·

Le téléphone de la responsable administrative sonne à huit heures du matin. Le prestataire de messagerie signale des accès non autorisés au compte de l'entreprise pendant la nuit. À cet instant, même avant que quiconque dans l'organisation ait pris la moindre décision, le délai prévu par l'article 33 du Règlement (UE) 2016/679 (RGPD) a déjà commencé à courir. L'entreprise dispose de 72 heures pour notifier l'Agencia Española de Protección de Datos (AEPD) si l'incident est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.

Cet article explique ce qu'est précisément une violation de données personnelles, comment en évaluer la gravité, quelles obligations concrètes imposent le RGPD — et la Loi organique 3/2018 relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD) — et ce qu'une PME doit faire dans les premières heures pour ne pas aggraver son exposition juridique.

Qu'est-ce qu'une violation de données personnelles ?

L'article 4, paragraphe 12, du RGPD la définit comme «une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données».

La définition est délibérément large. Elle n'exige ni attaque externe ni publication des données. Trois situations constituent également des violations :

Ce qui unit ces trois catégories, c'est qu'elles affectent des données à caractère personnel : toute information permettant d'identifier une personne physique. Dossiers salariés, listes de clients, antécédents médicaux, adresses électroniques ou numéros de téléphone sont des données personnelles.

Types de violations : exemples concrets dans les PME

Les violations ne concernent pas uniquement les grandes entreprises. L'AEPD publie des statistiques annuelles montrant que plus de la moitié des notifications reçues émanent de petites et moyennes entreprises. Voici les types les plus fréquents dans le tissu entrepreneurial espagnol :

Type d'incident Exemple concret Catégorie de violation Niveau de risque habituel
Rançongiciel / chiffrement malveillant Un salarié ouvre une pièce jointe frauduleuse ; le logiciel malveillant chiffre tous les fichiers du serveur partagé, y compris la base de données clients Disponibilité (+ confidentialité en cas d'exfiltration) Élevé ou très élevé
Vol ou perte d'appareil Un commercial perd un ordinateur portable contenant des contrats en PDF et un carnet d'adresses non chiffrés Confidentialité Moyen-élevé (selon le chiffrement du disque)
Courriel envoyé à la mauvaise adresse Un cabinet comptable envoie la fiche de paie d'un salarié à un autre par erreur Confidentialité Faible (si le destinataire détruit le document) ou moyen
Accès non autorisé d'un ex-salarié Un employé licencié conserve des identifiants actifs et télécharge le CRM avant de partir Confidentialité Élevé
Vulnérabilité sur le site web ou la boutique en ligne Un plugin WordPress obsolète permet une injection SQL ; des données de commandes (nom, adresse, téléphone) sont exposées Confidentialité Élevé
Suppression accidentelle de données Une clinique efface par inadvertance la base de données de rendez-vous de l'année sans sauvegarde récente Disponibilité Moyen (si aucun préjudice identifiable pour des personnes spécifiques)

Quand existe-t-il une obligation de notifier l'AEPD ?

Toute violation n'implique pas une notification. L'article 33 du RGPD établit l'obligation lorsque la violation «est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques». La norme prévoit également une exception : si la violation «n'est pas susceptible d'engendrer un risque», la notification n'est pas obligatoire, mais la violation doit néanmoins être documentée en interne dans le Registre des violations que tout responsable du traitement est tenu de tenir.

En pratique, l'AEPD et le Comité européen de la protection des données (CEPD) ont publié des lignes directrices pour évaluer le risque, en tenant compte de facteurs tels que :

Le délai de 72 heures court à compter du moment où le responsable prend connaissance de l'incident, non à compter de sa survenance. Si l'enquête n'est pas terminée dans ce délai, le RGPD autorise une notification par étapes : une communication initiale avec les données disponibles, complétée ultérieurement. Ce que le règlement n'admet pas, c'est d'attendre d'avoir toutes les informations pour notifier.

Quand faut-il informer les personnes concernées ?

L'article 34 du RGPD ajoute une seconde obligation lorsque la violation «est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique» : la communiquer directement à chaque personne concernée «dans les meilleurs délais». Cette communication doit être rédigée en termes clairs et simples et inclure au minimum :

Protocole d'action dans les premières 72 heures

  1. Confinement immédiat : isoler les systèmes affectés, révoquer les identifiants compromis, bloquer les vecteurs d'accès identifiés. Ne pas éteindre les serveurs de façon indiscriminée si cela risque de détruire des preuves numériques.
  2. Évaluation préliminaire de l'étendue : déterminer quelles données ont été affectées, combien de personnes et depuis quand. Cette évaluation n'a pas à être définitive, mais doit être suffisante pour décider de notifier.
  3. Activer le protocole interne de gestion des violations : si l'organisation dispose d'un DPO, l'impliquer immédiatement. Sinon, le responsable du traitement assume la coordination.
  4. Tout documenter dès la première minute : heure de détection, auteur de la détection, mesures prises, échanges avec le prestataire technique. Cette documentation constitue la preuve de diligence devant l'AEPD.
  5. Décider de notifier ou non l'AEPD : si un risque pour les personnes concernées existe — ce qui est le cas dans la plupart des incidents, sauf données chiffrées ou incident trivial —, notifier via le siège électronique de l'AEPD avant l'expiration du délai de 72 heures.
  6. Évaluer si une communication aux personnes concernées est nécessaire et, si oui, rédiger et envoyer le message avec les informations exigées par l'article 34 du RGPD.

Régime des sanctions : ce que l'AEPD peut infliger

L'article 83 du RGPD établit le cadre des sanctions sans fixer de montants obligatoires : l'autorité de contrôle dispose d'un pouvoir d'appréciation pour moduler la sanction en fonction de la gravité, de l'intentionnalité, du nombre de personnes concernées, des catégories de données impliquées et des mesures prises pour remédier au préjudice. Le plafond maximal est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le plus élevé étant retenu). L'AEPD a infligé des sanctions significatives tant à de grandes entreprises qu'à des PME pour une gestion déficiente des violations, y compris des notifications tardives ou des absences de notification.

Comment prévenir les violations : mesures techniques et organisationnelles

L'article 32 du RGPD impose aux responsables du traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Il n'existe pas de catalogue fermé. Pour une PME espagnole, les mesures minimales raisonnables comprennent :

Le rôle du DPO dans la gestion des violations

Les articles 37 à 39 du RGPD encadrent le Délégué à la Protection des Données (DPO) : sa désignation est obligatoire pour certains organismes (autorités publiques, entités effectuant des traitements à grande échelle de données sensibles ou une surveillance systématique à grande échelle). Lorsqu'un DPO est en place, il est l'interlocuteur naturel avec l'AEPD en cas de violation et responsable de la coordination du protocole interne.

Pour les PME sans obligation légale de désigner un DPO mais traitant des données sensibles — cliniques, établissements scolaires, cabinets professionnels, entreprises disposant d'un CRM étendu —, faire appel à un DPO externe offre la même couverture à un coût accessible, la gestion des violations étant généralement incluse dans le contrat de service.

Si votre entreprise ne dispose pas encore d'un protocole de gestion des violations ni d'un responsable de la protection des données clairement désigné, c'est le moment de traiter votre mise en conformité RGPD en matière de violations de sécurité. Summum Consultora accompagne les PME de Castilla y León et des îles Canaries dans la mise en place de protocoles, la rédaction du Registre des violations et la gestion des incidents réels.

Questions fréquentes

Que se passe-t-il si je détecte une violation plusieurs jours après sa survenance ?

Le délai de 72 heures commence à courir à partir du moment où le responsable prend connaissance de l'incident, non à partir de sa survenance. Si la violation est détectée tardivement, le délai part de la date de détection. Dans la notification à l'AEPD, vous devez indiquer aussi bien la date probable de l'incident que la date de sa découverte ; un écart important peut faire l'objet d'un examen approfondi s'il paraît disproportionné.

Une violation interne — sans accès externe — doit-elle également être notifiée ?

Oui. Si un salarié accède sans autorisation à des données concernant d'autres salariés ou des clients, il s'agit d'une violation de confidentialité soumise aux mêmes obligations qu'une intrusion externe. C'est le risque pour les personnes concernées, et non le caractère interne ou externe de l'accès, qui détermine l'obligation.

Existe-t-il un registre où toutes les violations — y compris celles non notifiées — doivent être consignées ?

Oui. L'article 33, paragraphe 5, du RGPD impose au responsable du traitement de documenter toutes les violations de données personnelles, y compris celles qui n'atteignent pas le seuil de risque exigeant une notification à l'autorité de contrôle. Ce Registre des violations doit être tenu à la disposition de l'AEPD sur demande.