Les responsables de traitement doivent notifier les violations de données à caractère personnel à la CNPD dans un délai de 72 heures après en avoir pris connaissance si la violation en question est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.
1. Qu’est-ce qu’une violation de données à caractère personnel ?
Une violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération ou la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
Les violations de données peuvent être catégorisées selon les trois principes bien connus de la sécurité de l’information :
- Violation de confidentialité : en cas de divulgation ou d'accès non autorisé ou accidentel à des données à caractère personnel ;
- Violation de disponibilité : en cas de perte ou de destruction accidentelle ou non autorisée de données à caractère personnel ;
- Violation d’intégrité : en cas de modification accidentelle ou non autorisée de données à caractère personnel ;
Dépendant des circonstances, une violation peut concerner la confidentialité, l’intégrité et la disponibilité au même moment, ainsi que toute combinaison de ces 3 principes.
Considérant 85 du RGPD: « Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. »
2. Que doit-on faire si une violation de données a eu lieu?
Le responsable doit identifier si la violation de données présente un risque pour les individus concernés. Le responsable de traitement peut se servir de ses réponses aux informations demandées dans le formulaire de notification comme base pour déterminer si la violation présente un risque pour les personnes concernées.
3. Quand et comment notifier la CNPD ?
Si la violation de données présente un risque pour les personnes, une notification de celle-ci à la Commission nationale est requise.
Le formulaire ci-joint peut être utilisé pour effectuer la notification.
La notification doit, à tout le moins:
- décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
- communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- décrire les conséquences probables de la violation de données à caractère personnel;
- décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
La notification de la violation peut être transmise à l’adresse email databreach@cnpd.lu. Vous pouvez utiliser la clé publique gpg téléchargeable ici pour sécuriser la transmission des informations en les chiffrant.
4. Quand et comment notifier les personnes concernées par la violation de données ?
Lorsque la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement doit communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
La communication à la personne concernée doit décrire, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- une description des conséquences probables de la violation de données à caractère personnel;
- une description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Le moyen de communication utilisé pour contacter les personnes concernées doit être effectif, c’est-à-dire qu’il faut s’assurer que les personnes concernées reçoivent avec une forte probabilité les informations communiquées. Si cela s’avère nécessaire, une communication publique peut être requise.
5. La tenue d’un registre des violations
Le responsable du traitement doit documenter toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier (même celles qui ne sont pas à notifier à la CNPD).
La Commission nationale peut demander l’accès à cette documentation pour vérifier le respect des obligations par le responsable de traitement ou le sous-traitant liées à la gestion des violations de données.
6. Que va faire la CNPD suite à la réception de la notification?
Dès réception de la notification, la Commission nationale va
- Envoyer un accusé de réception électronique (à la même adresse qui l’a envoyée) ;
- Vérifier la notification et, le cas échéant, contacter le responsable de traitement pour vérifier l’authenticité de la notification ;
- En fonction des circonstances revenir vers le responsable de traitement en cas de questions – dont notamment la nécessité de contacter les personnes concernées ou pas.
Le traitement de la notification par la Commission nationale sera fortement axé sur la gestion de l’incident par le responsable de traitement et, le cas échéant, sur la communication aux personnes concernées.
7. Les responsabilités des sous-traitants
Les sous-traitants ont la responsabilité de mettre en place des mesures organisationnelles et techniques pour être en mesure d’informer dans le meilleur délai le / les responsable(s) de traitement d’un incident sur des données à caractère personnel afin que ce dernier soit en mesure de respecter le délai de notification de 72 heures après la détection de l’incident.
8. Que faire après la gestion de la violation de données ?
Il est important pour une entité d’adapter les mesures de sécurité organisationnelles et techniques à ses traitements pour éviter que le même type de violation puisse se reproduire.
9. Confidentialité de la violation
Il n’est pas du ressort de la Commission nationale de rendre publique une violation de données. Toutefois, un responsable de traitement peut être amené, par sa décision propre ou sur demande de la Commission nationale, à communiquer publiquement sur une violation de données si celle-ci peut avoir un impact sur la vie privée, les droits et libertés des personnes concernées et que ces dernières ne peuvent pas être contactées efficacement par un autre moyen.