Le téléphone de la responsable administrative sonne à huit heures du matin. Le prestataire de messagerie signale des accès non autorisés au compte de l'entreprise pendant la nuit. À cet instant, même avant que quiconque dans l'organisation ait pris la moindre décision, le délai prévu par l'article 33 du Règlement (UE) 2016/679 (RGPD) a déjà commencé à courir. L'entreprise dispose de 72 heures pour notifier l'Agencia Española de Protección de Datos (AEPD) si l'incident est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.
Cet article explique ce qu'est précisément une violation de données personnelles, comment en évaluer la gravité, quelles obligations concrètes imposent le RGPD — et la Loi organique 3/2018 relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD) — et ce qu'une PME doit faire dans les premières heures pour ne pas aggraver son exposition juridique.
Qu'est-ce qu'une violation de données personnelles ?
L'article 4, paragraphe 12, du RGPD la définit comme «une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données».
La définition est délibérément large. Elle n'exige ni attaque externe ni publication des données. Trois situations constituent également des violations :
- Violation de confidentialité : accès ou divulgation non autorisés de données (une cyberattaque extrayant une base de données clients, un courriel envoyé à la mauvaise adresse avec des données personnelles en pièce jointe).
- Violation d'intégrité : altération non autorisée ou accidentelle des données (modification malveillante d'enregistrements, corruption d'un fichier par un logiciel malveillant).
- Violation de disponibilité : destruction ou perte d'accès aux données (rançongiciel chiffrant les serveurs, suppression accidentelle d'une base de données sans sauvegarde).
Ce qui unit ces trois catégories, c'est qu'elles affectent des données à caractère personnel : toute information permettant d'identifier une personne physique. Dossiers salariés, listes de clients, antécédents médicaux, adresses électroniques ou numéros de téléphone sont des données personnelles.
Types de violations : exemples concrets dans les PME
Les violations ne concernent pas uniquement les grandes entreprises. L'AEPD publie des statistiques annuelles montrant que plus de la moitié des notifications reçues émanent de petites et moyennes entreprises. Voici les types les plus fréquents dans le tissu entrepreneurial espagnol :
| Type d'incident | Exemple concret | Catégorie de violation | Niveau de risque habituel |
|---|---|---|---|
| Rançongiciel / chiffrement malveillant | Un salarié ouvre une pièce jointe frauduleuse ; le logiciel malveillant chiffre tous les fichiers du serveur partagé, y compris la base de données clients | Disponibilité (+ confidentialité en cas d'exfiltration) | Élevé ou très élevé |
| Vol ou perte d'appareil | Un commercial perd un ordinateur portable contenant des contrats en PDF et un carnet d'adresses non chiffrés | Confidentialité | Moyen-élevé (selon le chiffrement du disque) |
| Courriel envoyé à la mauvaise adresse | Un cabinet comptable envoie la fiche de paie d'un salarié à un autre par erreur | Confidentialité | Faible (si le destinataire détruit le document) ou moyen |
| Accès non autorisé d'un ex-salarié | Un employé licencié conserve des identifiants actifs et télécharge le CRM avant de partir | Confidentialité | Élevé |
| Vulnérabilité sur le site web ou la boutique en ligne | Un plugin WordPress obsolète permet une injection SQL ; des données de commandes (nom, adresse, téléphone) sont exposées | Confidentialité | Élevé |
| Suppression accidentelle de données | Une clinique efface par inadvertance la base de données de rendez-vous de l'année sans sauvegarde récente | Disponibilité | Moyen (si aucun préjudice identifiable pour des personnes spécifiques) |
Quand existe-t-il une obligation de notifier l'AEPD ?
Toute violation n'implique pas une notification. L'article 33 du RGPD établit l'obligation lorsque la violation «est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques». La norme prévoit également une exception : si la violation «n'est pas susceptible d'engendrer un risque», la notification n'est pas obligatoire, mais la violation doit néanmoins être documentée en interne dans le Registre des violations que tout responsable du traitement est tenu de tenir.
En pratique, l'AEPD et le Comité européen de la protection des données (CEPD) ont publié des lignes directrices pour évaluer le risque, en tenant compte de facteurs tels que :
- Le type et le volume de données concernées (les données sensibles — santé, convictions, origine raciale, orientation sexuelle — sont considérées comme plus graves).
- Le nombre de personnes affectées.
- La facilité d'identification des personnes à partir des données exposées.
- La possibilité pour le responsable d'avoir prévenu l'incident (négligence).
- Le caractère réversible du préjudice potentiel.
Le délai de 72 heures court à compter du moment où le responsable prend connaissance de l'incident, non à compter de sa survenance. Si l'enquête n'est pas terminée dans ce délai, le RGPD autorise une notification par étapes : une communication initiale avec les données disponibles, complétée ultérieurement. Ce que le règlement n'admet pas, c'est d'attendre d'avoir toutes les informations pour notifier.
Quand faut-il informer les personnes concernées ?
L'article 34 du RGPD ajoute une seconde obligation lorsque la violation «est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique» : la communiquer directement à chaque personne concernée «dans les meilleurs délais». Cette communication doit être rédigée en termes clairs et simples et inclure au minimum :
- La nature de la violation.
- Les coordonnées du délégué à la protection des données (DPO) ou du point de contact de l'entreprise.
- Les conséquences probables de la violation.
- Les mesures prises ou envisagées pour y remédier et, le cas échéant, pour en atténuer les effets négatifs.
Protocole d'action dans les premières 72 heures
- Confinement immédiat : isoler les systèmes affectés, révoquer les identifiants compromis, bloquer les vecteurs d'accès identifiés. Ne pas éteindre les serveurs de façon indiscriminée si cela risque de détruire des preuves numériques.
- Évaluation préliminaire de l'étendue : déterminer quelles données ont été affectées, combien de personnes et depuis quand. Cette évaluation n'a pas à être définitive, mais doit être suffisante pour décider de notifier.
- Activer le protocole interne de gestion des violations : si l'organisation dispose d'un DPO, l'impliquer immédiatement. Sinon, le responsable du traitement assume la coordination.
- Tout documenter dès la première minute : heure de détection, auteur de la détection, mesures prises, échanges avec le prestataire technique. Cette documentation constitue la preuve de diligence devant l'AEPD.
- Décider de notifier ou non l'AEPD : si un risque pour les personnes concernées existe — ce qui est le cas dans la plupart des incidents, sauf données chiffrées ou incident trivial —, notifier via le siège électronique de l'AEPD avant l'expiration du délai de 72 heures.
- Évaluer si une communication aux personnes concernées est nécessaire et, si oui, rédiger et envoyer le message avec les informations exigées par l'article 34 du RGPD.
Régime des sanctions : ce que l'AEPD peut infliger
L'article 83 du RGPD établit le cadre des sanctions sans fixer de montants obligatoires : l'autorité de contrôle dispose d'un pouvoir d'appréciation pour moduler la sanction en fonction de la gravité, de l'intentionnalité, du nombre de personnes concernées, des catégories de données impliquées et des mesures prises pour remédier au préjudice. Le plafond maximal est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le plus élevé étant retenu). L'AEPD a infligé des sanctions significatives tant à de grandes entreprises qu'à des PME pour une gestion déficiente des violations, y compris des notifications tardives ou des absences de notification.
Comment prévenir les violations : mesures techniques et organisationnelles
L'article 32 du RGPD impose aux responsables du traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Il n'existe pas de catalogue fermé. Pour une PME espagnole, les mesures minimales raisonnables comprennent :
- Chiffrement des appareils mobiles et des ordinateurs portables contenant des données personnelles.
- Politique de mots de passe robustes et authentification à deux facteurs pour accéder aux systèmes hébergeant des données personnelles.
- Sauvegardes régulières et vérifiées, avec au moins une copie hors du serveur principal.
- Gestion du cycle de vie des identifiants : révocation immédiate des accès à la fin d'une relation de travail ou contractuelle.
- Application rapide des mises à jour de sécurité sur tous les systèmes, notamment les CMS, les plugins et les applications web.
- Protocole écrit de gestion des violations définissant qui reçoit l'alerte, qui décide de notifier et qui rédige la communication à l'AEPD.
Le rôle du DPO dans la gestion des violations
Les articles 37 à 39 du RGPD encadrent le Délégué à la Protection des Données (DPO) : sa désignation est obligatoire pour certains organismes (autorités publiques, entités effectuant des traitements à grande échelle de données sensibles ou une surveillance systématique à grande échelle). Lorsqu'un DPO est en place, il est l'interlocuteur naturel avec l'AEPD en cas de violation et responsable de la coordination du protocole interne.
Pour les PME sans obligation légale de désigner un DPO mais traitant des données sensibles — cliniques, établissements scolaires, cabinets professionnels, entreprises disposant d'un CRM étendu —, faire appel à un DPO externe offre la même couverture à un coût accessible, la gestion des violations étant généralement incluse dans le contrat de service.
Si votre entreprise ne dispose pas encore d'un protocole de gestion des violations ni d'un responsable de la protection des données clairement désigné, c'est le moment de traiter votre mise en conformité RGPD en matière de violations de sécurité. Summum Consultora accompagne les PME de Castilla y León et des îles Canaries dans la mise en place de protocoles, la rédaction du Registre des violations et la gestion des incidents réels.
Questions fréquentes
Que se passe-t-il si je détecte une violation plusieurs jours après sa survenance ?
Le délai de 72 heures commence à courir à partir du moment où le responsable prend connaissance de l'incident, non à partir de sa survenance. Si la violation est détectée tardivement, le délai part de la date de détection. Dans la notification à l'AEPD, vous devez indiquer aussi bien la date probable de l'incident que la date de sa découverte ; un écart important peut faire l'objet d'un examen approfondi s'il paraît disproportionné.
Une violation interne — sans accès externe — doit-elle également être notifiée ?
Oui. Si un salarié accède sans autorisation à des données concernant d'autres salariés ou des clients, il s'agit d'une violation de confidentialité soumise aux mêmes obligations qu'une intrusion externe. C'est le risque pour les personnes concernées, et non le caractère interne ou externe de l'accès, qui détermine l'obligation.
Existe-t-il un registre où toutes les violations — y compris celles non notifiées — doivent être consignées ?
Oui. L'article 33, paragraphe 5, du RGPD impose au responsable du traitement de documenter toutes les violations de données personnelles, y compris celles qui n'atteignent pas le seuil de risque exigeant une notification à l'autorité de contrôle. Ce Registre des violations doit être tenu à la disposition de l'AEPD sur demande.