Respuesta a incidentes

Violations de données RGPD

Lorsqu'un incident de sécurité impliquant des données personnelles survient, le délai de l'article 33 du RGPD commence à courir dès le moment où le responsable en a connaissance : 72 heures pour notifier l'AEPD. Summum Consultoría vous accompagne tout au long du processus — évaluation du risque, notification réglementaire, communication aux personnes concernées et documentation complète de l'incident.

Réglementation applicableRGPD (UE) 2016/679 · LOPDGDD 3/2018
Délai clé72 heures à compter de la prise de connaissance (art. 33 RGPD)
Autorité de contrôleAEPD — Agence espagnole de protection des données

Une violation de données à caractère personnel est tout incident entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles. Le concept couvre aussi bien un courriel envoyé au mauvais destinataire ou un ordinateur portable égaré qu'une attaque par ransomware chiffrant la base de données clients. Le Règlement général sur la protection des données — RGPD (UE) 2016/679 — impose à tout responsable du traitement de gérer ces situations à l'aide de procédures documentées et dans des délais stricts : notification à l'Agencia Española de Protección de Datos (AEPD) dans un délai maximal de 72 heures lorsque la violation est susceptible d'engendrer un risque pour les droits des personnes concernées (art. 33), et communication directe à ces personnes lorsque le risque est élevé (art. 34).

Le problème réel dans la plupart des organisations n'est pas l'absence de bonne volonté, mais le manque d'un protocole préétabli. Lorsque l'incident survient, l'équipe ne sait pas qui doit décider si une notification est requise, quelles informations celle-ci doit contenir, qui doit être informé en interne et comment documenter les actions prises. Le résultat habituel est que les 72 heures s'écoulent sans notification, ou que la notification transmise à l'AEPD est incomplète — ce qui peut aggraver l'appréciation de l'incident par le régulateur. L'AEPD considère que disposer de procédures préalables et agir avec diligence dès le premier instant constitue un facteur atténuant la gravité de la violation.

Chez Summum Consultoría, nous accompagnons les PME et les entreprises de taille intermédiaire dans la mise en place d'un protocole de gestion des violations qui fonctionne dans la pratique, pas seulement sur le papier. Nous concevons la procédure interne, formons l'équipe responsable, et lorsqu'un incident réel se produit, nous sommes disponibles pour assister l'évaluation du risque, la rédaction de la notification à l'AEPD, la communication aux personnes concernées et la constitution du dossier documentaire. Nous ne nous substituons pas à l'AEPD et nous ne garantissons pas les résultats d'une éventuelle procédure de sanction, mais nous garantissons que l'organisation agit de manière ordonnée, dans les délais légaux et avec la documentation que le régulateur s'attend à trouver.

Le processus Violations de données RGPD.

Le processus · quatre étapes
01

Mise en place du protocole préventif

Nous concevons et documentons la procédure interne de gestion des violations de données : critères d'identification et de classification des incidents, chaîne d'escalade interne, modèles de notification à l'AEPD et de communication aux personnes concernées, et format du registre des violations (art. 33.5 RGPD). Le protocole est intégré dans la documentation existante en matière de protection des données et adapté à la taille et au secteur de l'organisation.

02

Évaluation du risque de l'incident

Lorsqu'une violation survient, nous analysons sa nature, le type et le volume de données concernées, les catégories de personnes affectées ainsi que la probabilité et la gravité du risque. Nous appliquons la méthodologie d'évaluation reconnue par l'AEPD pour déterminer si la violation doit être notifiée au régulateur (art. 33) et si elle nécessite également une communication directe aux personnes concernées (art. 34).

03

Notification à l'AEPD dans les 72 heures

Nous rédigeons et soumettons la notification via le siège électronique de l'AEPD dans le délai légal. La notification comprend la description de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements compromis, les conséquences probables et les mesures prises ou envisagées pour y remédier. Lorsque toutes les informations ne sont pas disponibles dans un premier temps, nous articulons une notification par phases, conformément à l'art. 33.4 RGPD.

04

Communication aux personnes concernées et clôture du dossier

Lorsque l'évaluation du risque conclut que la violation est susceptible d'engendrer des dommages graves pour les personnes (risque élevé, art. 34), nous préparons la communication aux personnes concernées en langage clair, assortie des recommandations de protection exigées par le règlement. Une fois l'incident géré, nous documentons l'intégralité du dossier dans le registre des violations : chronologie, décisions prises, mesures correctives et actions d'amélioration visant à prévenir toute récurrence.

Ce qui est inclus

Ce qu'inclut Violations de données RGPD.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Protocole interne de gestion des violations

    Procédure documentée pour détecter, classifier, escalader et gérer les incidents de sécurité impliquant des données personnelles : critères de déclenchement, chaîne de communication interne, modèles et répartition des responsabilités.

  • Évaluation du risque (art. 33 RGPD)

    Analyse de la nature de l'incident, du type et du volume de données concernées, des catégories de personnes et de la probabilité et de la gravité du risque, suivant la méthodologie de l'AEPD pour déterminer l'existence d'une obligation de notification.

  • Notification à l'AEPD dans les 72 heures

    Rédaction et transmission de la notification sur le siège électronique de l'AEPD avec tous les éléments requis par l'art. 33 RGPD, y compris la gestion des notifications par phases lorsque l'information n'est pas complète au moment initial.

  • Communication aux personnes concernées (art. 34 RGPD)

    Rédaction de la communication aux personnes affectées lorsque le risque est élevé : description de la violation en langage accessible, coordonnées du DPO ou du responsable, et mesures de protection recommandées.

  • Registre des violations (art. 33.5 RGPD)

    Documentation complète du dossier de chaque incident : faits, effets, mesures prises et chronologie des actions, dans le format exigé par le RGPD pour démontrer la gestion diligente au régulateur.

  • Mesures correctives et d'amélioration

    Identification et documentation des actions techniques et organisationnelles mises en œuvre après l'incident pour réduire le risque de récurrence et améliorer la posture de sécurité globale de l'organisation.

Questions fréquentes sur Violations de données RGPD.

Quand la notification d'une violation à l'AEPD est-elle obligatoire ?

L'article 33 du RGPD impose la notification à l'autorité de contrôle — en Espagne, l'AEPD — dans un délai maximal de 72 heures à compter du moment où le responsable du traitement a connaissance de la violation, pour autant que celle-ci soit susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Si la violation est peu susceptible d'entraîner ce risque — par exemple parce que les données étaient protégées par un chiffrement adéquat —, la notification n'est pas obligatoire, mais la décision et son fondement doivent être consignés dans le registre interne des violations. L'évaluation du risque doit être rigoureuse et documentée.

Que faire s'il est impossible de compléter la notification dans les 72 heures ?

L'article 33.4 du RGPD autorise une notification par phases lorsque toutes les informations ne sont pas disponibles au moment initial. Dans ce cas, une notification initiale est transmise avec les informations disponibles, puis complétée ou modifiée à mesure que de nouveaux éléments sont connus, en indiquant le motif du délai. Cette approche est préférable à l'attente d'informations complètes au risque de dépasser les 72 heures. L'AEPD apprécie favorablement la promptitude de la notification — même incomplète au départ — par rapport à un retard injustifié.

Dans quels cas la violation doit-elle être communiquée directement aux personnes concernées ?

La communication directe aux personnes concernées est obligatoire lorsque, en plus d'un risque probable, ce risque est élevé pour leurs droits et libertés (art. 34 RGPD). Les facteurs indiquant un risque élevé incluent le type de données impliquées — notamment les données sensibles telles que les données de santé, les données financières ou les données relatives à des mineurs —, le nombre de personnes affectées, la possibilité d'usurpation d'identité et le degré d'identification des personnes concernées. La communication doit être adressée directement à chaque personne affectée, en langage clair et accessible, sans retard injustifié.

Une attaque par ransomware constitue-t-elle toujours une violation notifiable ?

Une attaque par ransomware chiffrant ou bloquant l'accès à des données personnelles constitue une violation de données au sens du RGPD et doit systématiquement faire l'objet d'une évaluation. Si des sauvegardes adéquates permettent de restaurer les données et qu'il n'existe aucun indice d'accès ou d'exfiltration de données par l'attaquant, le risque pour les personnes concernées peut être faible et la notification à l'AEPD peut ne pas être requise — bien que la documentation interne reste obligatoire. En revanche, si des indices d'accès ou d'exfiltration existent, la notification est en pratique presque toujours exigible. L'essentiel est que l'évaluation soit rigoureuse et documentée, et non que la décision de ne pas notifier soit prise sans analyse.

Quelles sanctions l'AEPD peut-elle infliger en cas de défaut de notification d'une violation ?

L'omission ou le retard injustifié dans la notification d'une violation à l'AEPD peut être qualifié d'infraction grave et relève du cadre de sanctions de l'article 83 du RGPD : des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Pour les violations les plus graves du RGPD, le plafond maximal est porté à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. L'AEPD prend en compte comme circonstances atténuantes la coopération avec le régulateur, la diligence dans la notification et les mesures prises pour limiter les préjudices.

Que doit contenir le registre interne des violations ?

L'article 33.5 du RGPD impose de documenter toutes les violations, y compris celles qui ne nécessitent pas de notification à l'AEPD. Le registre doit inclure la description des faits, leurs effets et les mesures correctives prises. C'est le document que le régulateur peut demander à tout moment pour vérifier que l'organisation gère les incidents de manière responsable. Il n'existe pas de format officiel imposé, mais le registre doit être suffisamment détaillé pour permettre de reconstituer la chronologie de l'incident et les décisions prises lors de sa gestion.