Marcus Belke
CEO de 2B Advice GmbH, moteur de l'innovation dans le domaine de la vie privée conformité et de la gestion des risques, et a dirigé le développement d'Ailance, la nouvelle génération de conformité plateforme.
Les violations de données font désormais partie des incidents de conformité les plus fréquents dans les organisations. Des événements techniques de sécurité, des erreurs de configuration des systèmes informatiques ou des erreurs humaines peuvent conduire à ce que données à caractère personnel divulguées, modifiées ou perdues sans autorisation. Toutefois, un tel incident ne devient pertinent du point de vue de la protection des données que s'il est considéré comme une violation de la protection des données à caractère personnel au sens de l'article 4, point 12. RGPD doit être qualifiée. Dans la pratique, ce n'est pas tant la situation juridique abstraite que sa mise en œuvre organisationnelle qui représente le plus grand défi. En peu de temps, les incidents doivent être évalués, les obligations de déclaration vérifiées, les mesures documentées et les décisions de communication prises. Vous trouverez ci-dessous un aperçu des points pertinents.
Délais de notification et début du délai en cas de violation des données
Le système de notification de la RGPD fait la distinction entre la déclaration à la Autorité de surveillance conformément à l'art. 33 RGPD et l'information des personnes concernées conformément à l'art. 34 RGPD.
Art. 33, al. 1 RGPD oblige le responsable du traitement à signaler sans délai, et si possible dans les 72 heures suivant sa notification, toute violation de données à caractère personnel à l'autorité compétente. Autorité de surveillance de notifier la violation. La notification peut être omise si la violation n'est pas susceptible d'entraîner un risque pour les droits et libertés des personnes physiques. Si le délai est dépassé, le retard doit être justifié.
Le début du délai n'est pas lié à une élucidation complète de l'incident. Selon les Lignes directrices du Comité européen de la protection des données, une violation de la protection des données est considérée comme „connue“ dès que le Responsable a la certitude raisonnable qu'un incident de sécurité affectant la protection des données à caractère personnel s'est produit. Un bref audit initial est autorisé, mais il doit commencer immédiatement.
Les sous-traitants sont soumis à l'article 33, paragraphe 2, de la loi sur la protection des données. RGPD une obligation en amont : ils doivent signaler immédiatement au responsable toute violation de la protection des données dont ils ont eu connaissance. Dans les structures organisationnelles complexes, il en résulte souvent un processus d'escalade interne qui se situe en amont du délai de 72 heures proprement dit.
Une notification aux personnes concernées conformément à l'art. 34 RGPD n'est nécessaire qu'en cas de risque élevé pour leurs droits et libertés. Elle doit être effectuée sans délai, à moins que des exceptions légales ne s'appliquent, par exemple lorsque des mesures techniques de protection appropriées - par exemple, une protection contre les virus - sont en place. Cryptage - rendre les données inaccessibles aux personnes non autorisées.
Outre la RGPD peuvent être soumis à des obligations de notification supplémentaires. Ainsi, le règlement (UE) n° 611/2013 contient un système de notification spécifique pour les fournisseurs de services de communications électroniques accessibles au public, avec des délais particulièrement courts. En outre, la législation en matière de cybersécurité prévoit un système de notification échelonnée des incidents de sécurité importants pour certaines entités visées par la LSSI.
Évaluation et décision sur les risques
Le principal défi juridique en cas de violation de la protection des données réside dans l'évaluation des risques.
Il convient tout d'abord d'examiner s'il y a eu violation de la protection des données à caractère personnel au sens de l'article 4, point 12. RGPD est présent. Tous les incidents de sécurité informatique ne remplissent pas cette condition.
Si une telle violation existe, il convient de vérifier s'il en résulte un risque pour les droits et libertés des personnes physiques. Ce n'est que dans ce cas qu'il en résulte une obligation de notification à la Autorité de surveillance.
Ce n'est que lorsque l'évaluation aboutit à un risque élevé Si l'utilisation d'un logiciel de gestion de la qualité conduit à une violation des droits de l'homme, une obligation d'information des personnes concernées est en outre déclenchée.
Les conséquences possibles des dommages jouent un rôle particulier dans l'évaluation des risques. Il peut s'agir d'une usurpation d'identité, de pertes financières, de discrimination, d'une atteinte à la réputation ou d'autres préjudices matériels ou immatériels.
Pour la mise en œuvre organisationnelle, il est recommandé d'utiliser un modèle d'évaluation structuré qui combine la probabilité d'occurrence et la gravité des dommages tout en tenant compte des mesures de protection déjà mises en œuvre.
Documentation et preuve d'une violation de données
Le site Documentation des violations de données est une obligation légale à part entière.
Art. 33, al. 5 RGPD oblige Responsable, Les États membres sont tenus de documenter toutes les violations de données, y compris leurs causes, leurs conséquences et les mesures prises pour y remédier. Le site Documentation il faut que le Autorité de surveillance permettre de vérifier le respect des obligations légales.
Dans le droit des télécommunications, l'article 169 de la TKG complète cette obligation par un registre des violations de la protection des données. Celui-ci ne doit toutefois pas prendre en compte les incidents qui se sont produits plus de cinq ans auparavant.
La protection des preuves techniques revêt une importance particulière. Des contre-mesures non contrôlées peuvent détruire des traces numériques et rendre l'élucidation ultérieure plus difficile. C'est pourquoi il convient de définir dès la gestion des incidents les conditions dans lesquelles des investigations médico-légales seront lancées.
Un mécanisme de protection supplémentaire découle de l'article 42, paragraphe 4, de la BDSG. Selon cette disposition, les notifications au titre de l'article 33 RGPD ne peuvent en principe pas être utilisées sans l'accord du déclarant dans le cadre de procédures pénales à son encontre. Cette règle vise à encourager une communication ouverte vis-à-vis des autorités de surveillance.
Conseil de lecture : Mesure technique et organisationnelle - ce que les entreprises doivent prendre en compte
Communication avec les autorités et les personnes concernées
Les obligations de communication sont définies aux art. 33 et 34 RGPD réglementé de manière détaillée.
Une notification à la Autorité de surveillance doit notamment contenir les informations suivantes :
- une description de la nature de la violation de la protection des données,
- Informations sur les catégories de données et les groupes de personnes concernés,
- les coordonnées d'un point de contact,
- une présentation des conséquences possibles, et
- des informations sur les contre-mesures déjà prises ou prévues.
Si toutes les informations ne sont pas disponibles immédiatement, elles peuvent être fournies progressivement.
L'information des personnes concernées doit se faire dans un langage clair et simple et expliquer notamment la nature de la violation, les conséquences possibles et les mesures de protection recommandées.
En cas d'efforts disproportionnés, un avis public peut remplacer la notification individuelle.
Lessons Learned : Revue post-incident
Les violations de la protection des données ne devraient pas seulement être signalées, mais systématiquement évaluées.
Une revue post-incident doit notamment examiner,
- si les délais ont été correctement respectés,
- si le moment de la divulgation a été correctement déterminé,
- si la décision relative au risque est documentée de manière compréhensible et
- si la communication avec les autorités et les personnes concernées s'est déroulée en toute sécurité juridique.
Pour le pilotage organisationnel, il est possible d'utiliser des indicateurs tels que le délai jusqu'à la première évaluation des risques, la durée jusqu'à la communication aux autorités ou la cohérence entre l'image interne de la situation et la communication externe.
Incident-Playbook comme prévention en cas de violation des données
Une gestion structurée des violations de la protection des données requiert un système d'alerte obligatoire. Incident playbook. Celui-ci devrait traduire le processus de décision juridique en procédures opérationnelles et définir clairement les responsabilités.
Un tel playbook devrait notamment contenir
une définition de la violation de la protection des données conformément à l'article 4, point 12 RGPD
une matrice des délais pour les obligations de déclaration
un processus d'évaluation documenté pour les décisions relatives aux risques et aux risques élevés
Modules de communication pour les autorités et Personnes concernées
Procédure de conservation des preuves et de notification ultérieure
Un processus de notification structuré n'est donc pas seulement une obligation légale, mais un élément central de la gouvernance moderne de la protection des données et de la sécurité.
2B Advice soutient les organisations dans le développement et la mise en œuvre de tels playbooks d'incidents - de la structure juridique à la mise en œuvre pratique dans l'entreprise. Si vous avez des questions ou si vous êtes intéressé par une solution structurée pour la gestion des violations de la protection des données, n'hésitez pas à prendre contact avec nous.
Marcus Belke est CEO de 2B Advice ainsi que juriste et expert en IT pour Protection des données et numérique Conformité. Il écrit régulièrement sur la gouvernance de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French