Suite à l’incendie du 10 mars 2021 ayant eu lieu dans un centre de données d’OVH à Strasbourg (voir décision IP World), la CNIL a rappelé les obligations en matière de notification de violation en cas d’indisponibilité ou de destruction de données personnelles.
Sommaire
Une hypothèse prévue par le RGDP
L’obligation de notifier à la CNIL les violations de données à caractère personnel est prévue à l’article 33 du règlement général sur la protection des données (RGPD). Elle concerne tous les responsables de traitement de données à caractère personnel. Dans le cas où la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, l’article 34 du RGPD impose de notifier ces dernières.
La destruction de données personnelles
La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD.
À ce titre, les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne avec :
- la nature de la violation
- si possible, les catégories et le nombre approximatif de personnes concernées par la violation
- les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
- décrire les conséquences probables de la violation de données ;
- décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
Le document récapitulatif de la notification à la CNIL permet de répondre à l’obligation de documentation interne.
Si l’incident constitue un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNIL.
Les sous-traitants doivent informer leurs clients de l’incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux.
Cas dans lesquels une notification n’est pas nécessaire
La notification à la CNIL et la communication aux personnes n’est pas nécessaire si les conséquences restent limitées pour les personnes. Ainsi, il n’est pas nécessaire d’informer la CNIL :
1. si la mise en œuvre d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service ; ou
2. si les données ont été restaurées à partir des sauvegardes, sans conséquence significative pour les personnes (ex. : les conséquences sont limitées à l’impossibilité de passer une commande pendant quelques heures).
Cas dans lesquels une notification est nécessaire
En revanche, une notification à la CNIL est nécessaire :
1. si des données personnelles ont été définitivement perdues ; ou
2. si elles sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes.
Par ailleurs, si la violation est susceptible d’engendrer des risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement.
Le niveau de risque s’évalue notamment en tenant compte du type de données concernées et des conséquences potentielles de la violation (par exemple, la perte définitive de données de santé d’un patient est susceptible de présenter un risque élevé).
Comment notifier une violation de données à la CNIL ?
La CNIL a pour mission de recevoir les notifications de violations de données et de fournir des conseils en matière de communication aux personnes concernées mais ne fournit pas de service d’assistance ou de remédiation sur des incidents de cybersécurité.
La notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.
Si vous ne pouvez pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, vous pouvez procéder à une notification en deux temps :
Une notification initiale dans un délai de 72 heures si possible à la suite de la constatation de la violation ;
Si le délai de 72 heures est dépassé, vous devrez expliquer, lors de votre notification, les motifs du retard ;
Enfin, une notification complémentaire dès lors que les informations complémentaires sont disponibles.
La CNIL a mis en place un téléservice de notification. Ce téléservice est uniquement dédié aux responsables de traitement (organismes privés ou publics) souhaitant notifier à la Commission une violation ayant touché les données personnelles qu’ils traitent.
Dès réception, la CNIL va instruire la notification. La procédure relative à la violation notifiée pourra être clôturée si la CNIL constate que :
La violation ne porte pas atteinte aux données personnelles ou ne présente pas de risque pour les droits et libertés des personnes.
Vous avez correctement informé les personnes concernées.
Vous avez mis en place, préalablement à la violation, des mesures techniques de protection appropriées.
La CNIL pourra vous imposer d’informer les personnes concernées si elle constate que :
Vous ne les avez pas correctement informées.
Les mesures techniques de protection que vous avez mises en place préalablement à la violation ne sont pas appropriées.