Dans quels cas la perte ou la destruction de données à caractère personnel doit-elle faire l’objet d’une notification Cnil et/ou d’une information des personnes concernées ?

Le récent incendie dans un centre de données OVH à Strasbourg est l’occasion de rappeler les conditions dans lesquelles la notification à l’autorité de contrôle (i.e. en France, il s’agit de la Commission nationale de l’informatique et des libertés, ou “Cnil”) d’une violation de données à caractère personnel et/ou la communication aux personnes concernées sont obligatoires. En effet, le risque associé à une violation est souvent mis en lien avec la divulgation de données à caractère personnel et leur potentielle réutilisation. Qu’en est-il lorsque les données sont perdues ou détruites ?

 

 

Violation de données à caractère personnel ?

 

Le RGPD définit à son article 4 la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

 

Dans ses lignes directrices sur la notification de violations de données à caractère personnel du 3 octobre 2017 (version révisée et adoptée le 6 février 2018), le G29 (prédécesseur du CEPD) distingue trois types de violations de données, qui peuvent se cumuler :

  • la « violation de la confidentialité » : la divulgation ou l’accès non autorisé(e) ou accidentel(elle) à des données à caractère personnel ;
  • la « violation de l’intégrité » : l’altération non autorisée ou accidentelle de données à caractère personnel ;
  • la « violation de la disponibilité » : la destruction ou la perte accidentelle ou non autorisée de données à caractère personnel.

 

La définition de ce qui peut constituer une violation de données à caractère personnel est donc large : toute atteinte non autorisée ou accidentelle à des données à caractère personnel traitées constitue une violation.

 

 

La question centrale de l’évaluation du risque

 

L’évaluation du risque est centrale puisque le niveau de risque détermine les mesures qu’il convient de prendre à la suite de la violation. En effet, à trois degrés de risque correspondent trois actions à mettre en œuvre (chaque action se cumulant avec celle(s) de niveau inférieur) :

  • Absence de risque : documentation de la violation (article 33, 5 du RGPD) ;
  • Risque : notification à l’autorité de contrôle (article 33 du RGPD) ;
  • Risque élevé : communication aux personnes concernées (article 34 du RGPD).

 

La capacité du responsable de traitement à identifier une violation de données à caractère personnel puis à évaluer les risques qu’elle engendre pour les personnes concernées est primordiale, d’où la nécessité de mettre en place par anticipation une procédure de gestion des violations de données.

 

Il est également précisé qu’en cas de doute, il vaut mieux opter pour la prudence et procéder à une notification auprès de l’autorité de contrôle. Cette dernière pourra dans un second temps conseiller le responsable de traitement sur la nécessité d’une communication aux personnes concernées. Dans les cas où le responsable de traitement considérerait que la violation n’entraîne aucun risque pour les personnes concernées et prendrait donc la décision de ne pas la notifier à l’autorité de contrôle, il conviendra de porter une attention particulière à la documentation de la violation, en précisant notamment le raisonnement qui justifie cette décision.

 

Pour rappel, en cas d’absence de notification auprès de l’autorité de contrôle ou d’information des personnes concernées alors que les conditions imposant d’y procéder étaient remplies, des sanctions (notamment pécuniaires) peuvent être prononcées par l’autorité de contrôle. Attention, la réglementation relative aux données à caractère personnel s’applique même aux (toutes) petites structures ! (voir notre article à ce sujet)

 

 

Les facteurs d’évaluation du risque

 

Les conséquences possibles pour les personnes concernées, dont il faut évaluer le risque, peuvent notamment être la perte de contrôle sur leurs données à caractères personnel, la limitation de leurs droits, le risque de discrimination, le vol ou l’usurpation d’identité, la perte financière, le renversement non autorisé d’une procédure de pseudonymisation, l’atteinte à la réputation ou la perte de confidentialité (notamment violation du secret professionnel par exemple), ou encore un dommage économique ou social important.

 

En application des considérants 75 et 76 du RGPD, l’évaluation du risque doit être réalisée au cas par cas de manière objective et tenir compte à la fois de sa probabilité et sa gravité. Le G29 fournit dans ses lignes directrices précitées des précisions sur les facteurs à prendre en compte lors de l’évaluation du risque :

  • Type de la violation : confidentialité, intégrité, disponibilité ;
  • Nature, caractère sensible et volume des données à caractère personnel concernées ;
  • Facilité d’identification des personnes concernées ;
  • Gravité des conséquences pour les personnes concernées ;
  • Caractéristiques particulières des personnes concernées (enfants, personnes vulnérables) ;
  • Caractéristiques particulières du responsable de traitement ;
  • Nombre de personnes concernées ;
  • Éléments généraux : gravité des conséquences potentielles et probabilité que ces conséquences se produisent.

 

Il peut cependant demeurer difficile de placer avec certitude le curseur qui fait passer le risque d’un niveau à l’autre : pas de risque ? existence d’un risque ? existence d’un risque élevé ?

 

 

Des exemples concrets pour éclairer les responsables de traitements

 

Les précisions européennes

Afin de guider plus précisément le responsable de traitement, le G29 fournit dans ses lignes directrices une liste d’exemples concrets, en précisant pour chaque cas si la notification à l’autorité de contrôle et la communication aux personnes concernées sont nécessaires ou non. Le CEPD poursuit sur cette voie dans un projet de lignes directrices sur des exemples concernant la notification de violation de données à caractère personnel adopté le 14 janvier 2021 (publié en “version pour consultation publique”).

 

La comparaison des exemples communiqués permet de mettre en évidence les critères qui placent des violations de données qui peuvent sembler de prime abord similaires dans des catégories de risque différentes.

 

Par exemple, dans l’hypothèse d’une cyberattaque par rançongiciel, il conviendra de prendre en considération l’existence d’une sauvegarde des données, le fait qu’elles soient chiffrées (ce qui empêcherait qu’une violation de la confidentialité s’ajoute à la violation de la disponibilité) ou encore la durée de l’indisponibilité. Le statut du responsable de traitement et la nature des données à caractère personnel concernées sont également à prendre en compte. Une indisponibilité de quelques heures n’aura pas le même impact dans un hôpital, où cela peut mener à l’annulation d’opérations et donc avoir des conséquences sur la vie et la santé des patients, qu’auprès d’une plateforme de vente en ligne, qui pourrait “simplement” accuser de légers retards de livraison.

 

Pour ce qui est de l’envoi de données à caractère personnel par erreur ou à un mauvais destinataire, la relation de confiance entretenue avec le destinataire tiers peut jouer un rôle. Si le tiers destinataire est digne de confiance et que le responsable de traitement est convaincu qu’il supprimera bien les données à sa demande, le risque peut être très limité, voire disparaitre. En revanche, si le tiers destinataire est inconnu ou encore si l’envoi a été effectué à des destinataires tiers multiples, le risque restera présent.

 

Ces exemples permettent d’illustrer le fait que ce sont bien les conséquences de la violation de données qui doivent être examinées : des violations qui répondent à des caractéristiques semblables peuvent avoir des impacts différents sur les personnes concernées en fonction de facteurs divers. L’analyse réalisée par le responsable de traitement doit par conséquent être la plus fine possible et prendre en compte les potentielles évolutions de la violation.

 

 

Les précisions de la CNIL

La communication de la Cnil faisant suite à l’incendie évoqué ci-avant s’inscrit dans le même raisonnement que celui des organes européens. La Cnil donne en effet des indications afin de permettre aux responsables de traitements qui stockaient leurs données dans les centres OVH de déterminer si une notification est nécessaire.

 

Le premier critère mis en exergue en cas de destruction des données est l’existence ou non d’une sauvegarde. En effet, si les données peuvent être restaurées rapidement et ce sans conséquence significative pour les personnes concernées, une notification n’est pas nécessaire. En revanche, si les données à caractère personnel sont définitivement perdues, une notification à la Cnil sera indispensable.

 

Le second critère présenté est l’impact de l’indisponibilité des données sur l’activité du responsable de traitement. Si la mise en œuvre d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service ou que l’interruption est très brève et sans incidence significative pour les personnes concernées, la notification n’est pas nécessaire. En revanche, si les données à caractère personnel sont restées indisponibles suffisamment longtemps pour que cela engendre un risque pour les personnes, la notification devient obligatoire.

 

Par ailleurs, les sanctions prononcées par la CNIL il y a quelques mois à l’encontre de deux médecins illustrent la sévérité de l’autorité de contrôle française dès lors que des données de santé sont concernées. En effet, la Cnil a sanctionné l’absence de notification alors même que c’était un contrôle de sa part qui avait mis en lumière les violations ! Cette sévérité devrait vraisemblablement se maintenir, la cybersécurité et les données de santé ayant été désignées comme thématiques prioritaires de contrôle pour 2021.

 

 

*

*         *

 

 

Le Pôle « IT & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel.

 

Par AGIL’IT – Pôle IT & Data protection

Laure LANDES-GRONOWSKI, Avocate associée