icon fleche gauche
Le 
26
 
10
 
2025

Violation de données personnelles : que faire en cas d’incident ?

Le Legal Spot

Violation de données personnelles : que faire en cas d’incident ?

Une violation de données personnelles désigne tout incident entraînant, de manière illicite ou accidentelle, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles ou l’accès non autorisé à de telles données. 

La notion de violation de données au sens du RGPD est donc particulièrement large et vise un large éventail de situations, et dépasse le seul cas des cyberattaques ou des actes malveillants. 

Il peut donc tout autant s’agir d’une attaque informatique (ransomware, phishing, piratages, etc.) que d’une erreur humaine entraînant une divulgation de données non autorisée. Il en va ainsi, par exemple, de : 

  • l’envoi de données personnelles à un mauvais destinataire ;
  • la perte d’un disque dur contenant de telles données ; 
  • voire de la destruction accidentelle de fichiers. 

À ce titre, le RGPD met à la charge des responsables de traitement des obligations de notification à la CNIL, d’information des personnes concernées et de documentation. 

Qui sont les responsables de traitement ? 

Ce sont les entités qui décident de la mise en œuvre d’un traitement de données personnelles.

Retour sur les obligations de votre entreprise en la matière. 

Comment réagir en cas de violation de ses données personnelles ? 

Après avoir identifié une violation de données personnelles, un ensemble de mesures peuvent être mises en place par votre entreprise. 

Il pourra s’agir de mesures techniques ou organisationnelles, parmi lesquelles : 

  • la déconnexion d’un système ;
  • le paramétrage des accès ;
  • etc.

Celles-ci permettent une première réponse, mais aussi d’investigations qui visent à déterminer la nature et l’étendue de l’incident et de la potentielle violation de données. 

Les informations ainsi recueillies seront particulièrement utiles au respect de vos obligations de notification et de documentation. 

Enfin, il est important de réagir rapidement, tant pour contenir l’incident que pour respecter vos obligations de notification ou d’information.

Le RGPD prévoit, par exemple, que la notification à la CNIL, en cas de risque pour les personnes concernées, doit être effectuée dans les 72 heures à compter de la connaissance de la violation. 

Exemples d’identification de violation de données personnelles

  • détection d’un événement suspect ;
  • perte ou destruction d’un support de données ;
  • etc.

Comment identifier le niveau de risque pour les personnes concernées ?

Une fois la violation de données personnelles identifiée, le responsable de traitement devra déterminer le niveau de risque qu’elle est susceptible d’engendrer pour les droits et libertés des personnes concernées (clients, salariés, patients, etc.). 

L’étendue de vos obligations dépendra du résultat de cette analyse. Celle-ci pourra se fonder sur plusieurs critères, tels que, notamment : 

  • le type de violation (violation de la confidentialité, disponibilité ou de l’intégrité) ;
  • la nature, le volume ou le caractère sensible des données concernées ;
  • la facilité d’identification des personnes concernées, la gravité des conséquences pour celles-ci, leur nombre ou leurs caractéristiques (mineurs, personnes vulnérables, etc.) ;
  • les caractéristiques particulières du responsable de traitement (secteur d’activité, etc.). 

Par exemple, le risque pour les personnes concernées sera plus élevé si la confidentialité de leurs données de santé a été violée que dans le cas où l’intégrité de données pseudonymisées uniquement relatives à une liste d’achats a été violée. 

Quand et que notifier à la CNIL et aux personnes concernées ?

 

Les obligations de notification à la CNIL et d’information des personnes concernées dépendront du niveau de risque susceptible d’être engendré pour les personnes concernées. 

  • Lorsque la violation n’engendrera aucun risque pour les personnes concernées : votre entreprise n’est ni tenue de notifier la CNIL ni d’informer les personnes concernées. 

Exemple de violation qui n’engendre aucun risque 

  •  Divulgation de données déjà rendues publiques

  • Lorsqu’elle est susceptible d’engendrer un risque pour les personnes concernées, même modéré : votre entreprise devra notifier la violation à la CNIL dans un délai de 72 heures à compter du moment où elle en a connaissance. En cas de retard, celui-ci devra être motivé). 

  • Lorsqu'elle est susceptible d’engendrer un risque élevé pour les personnes concernées : outre la notification à la CNIL, votre entreprise devra informer les personnes concernées dans les meilleurs délais. 

En pratique, la notification à la CNIL est effectuée en ligne, au plus tard dans les 72 heures suivant la prise de connaissance de la violation. 

Si certaines informations sont manquantes, vous pourrez procéder à des notifications complémentaires, si possible toujours dans le même délai. Les informations à fournir portent notamment sur la nature de la violation mais aussi sur les mesures techniques ou organisationnelles mises en place pour y remédier. 

La CNIL étudiera alors le niveau de risque et ces mesures et pourra vous contacter pour faire part de ses conseils, de ses remarques ou encore pour proposer une évaluation différente du niveau de risque. 

En 2024, la CNIL a ainsi reçu 5 629 notifications de violation de données personnelles. 

L’information des personnes concernées doit elle être faite dans les meilleurs délais, et être présentée dans des termes simples et compréhensibles. 

L’objectif est de permettre à celles-ci de prendre les mesures nécessaires pour limiter ces risques : 

  • changement de mots de passe ;
  • surveillance de leur compte bancaire ;
  • etc.

Les informations à communiquer portent notamment sur la nature de la violation, ses conséquences probables, ou encore sur les recommandations à destination des personnes (sauvegardes, vérifications, etc.). 

Dans certains cas, il est possible de ne pas informer directement les personnes concernées, malgré la présence d’un risque élevé. Il en va ainsi lorsque les données affectées sont rendues incompréhensibles pour toute personne non autorisée à y avoir accès (via des mesures de chiffrement par exemple), ou encore lorsque l’information exigerait des efforts disproportionnés, auquel cas il faudra procéder à une communication publique (affichage sur votre site internet par exemple). 

Comment tenir un registre de violations de données ? 

Outre la notification à la CNIL ou l’information des personnes concernées, votre entreprise a l’obligation de tenir un registre de violation de données. 

Ce registre devra être complété pour toute violation de données personnelles, y compris lorsqu’elle n’est pas susceptible d’engendrer de risque pour les personnes concernées. 

Cette documentation doit permettre de consigner les informations relatives à la violation de données personnelles (nature, mesures prises, etc.), mais aussi les raisons qui justifient l’absence de notification à la CNIL ou aux personnes concernées le cas échéant. 

Au même titre que le registre de traitements, le registre de violation de données peut être consulté par la CNIL en cas de contrôle. 

Anticiper la survenance d’une violation de données personnelles

Lorsque votre entreprise traite des données personnelles, elle est tenue de respecter une obligation de sécurité, et doit ainsi mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. 

Il s’agit donc notamment d’anticiper la survenance d’incidents, tant en mettant en œuvre des mesures techniques que des plans et processus permettant de répondre efficacement à une violation de données. 

Outre les sanctions administratives en cas de non-respect de vos obligations (amende d’un montant allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour le non-respect des obligations de notification), une violation de données peut avoir des conséquences en matière de réputation ou de confiance de la part de vos clients ou partenaires. 

Il est donc essentiel d’anticiper la survenance d’une telle situation, et lorsqu’une violation se produit, d’être en mesure d’y répondre immédiatement et efficacement. 

Le Legal Spot vous accompagne dans le respect de vos obligations, tant en amont qu’après la survenance d’une violation de données personnelles. Contactez-nous. 

No items found.

Vous avez aimé cet article ? vous aimerez peut-être aussi

Plus d'articles très prochainement
logo Legal spot, cabinet d'avocats Lille
Expertises
CABINET
OFFRES
RESSOURCES
CONTACTEZ-NOUS
Icon Linkedin

33 Bd du Général Leclerc, 59000 Roubaix

Mentions légalesPolitique de confidentialité
Copyright 2022 - Legal Spot
Création de site internet pour architectes