Retour au blog

Notifier une fuite de données : le modèle CEPD

Dativo

Quand et comment notifier une violation de données personnelles ?

La violation de données personnelles est l'un des risques majeurs à l'ère du numérique. Le Règlement général sur la protection des données (RGPD) impose aux organisations de notifier les autorités de protection et, dans certains cas, les personnes concernées. Cependant, cette obligation reste complexe pour de nombreuses entreprises qui ne savent pas exactement comment procéder. C'est pourquoi le Comité européen de la protection des données (CEPD) a développé un modèle de notification standardisé pour harmoniser les pratiques en Europe.

À retenir :
  • Le RGPD impose une notification dans les 72 heures suivant la découverte d'une violation de données
  • Le modèle du CEPD fournit un cadre unifié pour notifier les autorités de protection des données
  • Une notification claire et structurée facilite le traitement par les régulateurs et renforce la confiance des personnes
  • L'absence de notification peut entraîner des amendes substantielles de la CNIL et des autorités homologues

Comprendre l'obligation de notification sous le RGPD

L'article 33 du RGPD établit une obligation fondamentale : tout responsable de traitement doit notifier une violation de données personnelles à l'autorité de contrôle compétente sans délai injustifié et, si possible, dans les 72 heures suivant la prise de connaissance de la violation. En France, cette autorité est la Commission nationale de l'informatique et des libertés (CNIL).

Une violation de données personnelles est définie comme « un incident de sécurité ayant, de façon accidentelle ou illicite, entraîné la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière ». Cela couvre des situations variées : piratage informatique, fuite accidentelle, accès non autorisé, perte de documents, etc.

Le modèle de notification du CEPD : un standard européen

Pour harmoniser les pratiques de notification en Europe et faciliter le traitement des violations par les autorités nationales, le CEPD a élaboré un modèle standardisé de notification. Ce template couvre tous les éléments essentiels qu'une autorité de protection des données doit connaître pour évaluer la gravité d'une violation et initier une enquête si nécessaire.

Le modèle du CEPD inclut des sections spécifiques permettant aux responsables de traitement de fournir :

  • Des informations d'identification sur l'organisation et les personnes de contact
  • Une description détaillée de la violation (date, découverte, durée)
  • Les catégories de données personnelles affectées
  • Le nombre estimé de personnes concernées
  • Les risques potentiels pour les droits et libertés des personnes
  • Les mesures correctives et de mitigation mises en place
  • Le nom et les coordonnées du délégué à la protection des données (DPD), le cas échéant

Éléments clés à inclure dans votre notification

Identification de la violation

La notification doit débuter par une description précise de ce qui s'est passé. Quand la violation a-t-elle été découverte ? Quand a-t-elle probablement eu lieu ? Comment a-t-elle été identifiée ? Ces détails permettent à l'autorité de compétence de déterminer si le délai de 72 heures a été respecté et d'évaluer le contexte de la violation.

Catégories de données compromises

Listez précisément les types de données personnelles affectées : noms, adresses e-mail, numéros de téléphone, données financières, données de santé, données biométriques, etc. La sensibilité des données influence directement l'évaluation du risque par l'autorité de contrôle.

Nombre de personnes affectées

Fournissez une estimation du nombre de personnes concernées. Si le nombre exact n'est pas disponible au moment de la notification, indiquez-le clairement et engagez-vous à transmettre des informations plus précises dès que possible.

Évaluation des risques

Décrivez les risques potentiels pour les droits et libertés des personnes concernées. Un risque faible (données publiques) ne justifie pas une notification aux individus, tandis qu'un risque élevé (données sensibles, usurpation d'identité probable) l'impose.

Notification aux personnes concernées : quand est-elle obligatoire ?

Contrairement à la notification à l'autorité de protection (toujours obligatoire sauf cas rare), la notification aux personnes concernées dépend du niveau de risque pour leurs droits et libertés. Selon l'article 34 du RGPD, si la violation crée un risque élevé, vous devez informer les personnes sans délai injustifié.

Les cas où la notification aux personnes est obligatoire incluent :

  • L'accès à des données bancaires ou de paiement
  • La divulgation d'identifiants permettant l'usurpation d'identité
  • L'exposition de données de santé ou données sensibles
  • L'accès à des données d'enfants
  • Une violation affectant un grand nombre de personnes

Bonnes pratiques pour préparer votre notification

Une notification efficace repose sur une préparation anticipée. Voici les bonnes pratiques recommandées :

  • Maintenez un registre des violations : documentez tous les incidents, même mineurs, pour identifier des patterns
  • Établissez un plan de réponse aux incidents : définissez les rôles, les responsabilités et les délais avant qu'une violation ne survienne
  • Formez votre équipe : assurez-vous que les collaborateurs savent reconnaître et signaler une violation potentielle
  • Travaillez avec votre DPD : si vous en avez un, impliquez-le dès la détection d'une violation
  • Préparez des templates : utilisez le modèle du CEPD pour créer vos propres documents internes de notification

Conséquences du non-respect de l'obligation de notification

L'absence de notification ou une notification tardive expose l'organisation à des sanctions substantielles de la CNIL et des autorités homologues. Selon l'article 83 du RGPD, les amendes administratives peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.

Au-delà des amendes, une notification défaillante endommagera la réputation de l'organisation et la confiance des clients. À l'inverse, une notification transparente et bien structurée démontre votre engagement envers la protection des données.

Questions fréquentes

Qui doit notifier la violation : le responsable de traitement ou le sous-traitant ?

Le responsable de traitement est responsable de la notification à l'autorité de protection. Cependant, le sous-traitant a l'obligation de signaler sans délai injustifié toute violation au responsable de traitement. Un contrat de sous-traitance clair doit préciser ces rôles et délais de signalement.

Que faire si je ne connais pas le nombre exact de personnes affectées dans les 72 heures ?

Notifiez l'autorité avec une estimation et mentionnez que vous fournirez des chiffres plus précis ultérieurement. Il est préférable de notifier à temps avec une estimation que de dépasser le délai de 72 heures. Transmettez un complément d'information dès que possible.

La notification au CNIL dispense-t-elle de notifier les personnes concernées ?

Non. La notification au CNIL et la notification aux personnes sont deux obligations distinctes. Vous devez notifier la CNIL en tous les cas (sauf exceptions rares), mais la notification aux personnes dépend du niveau de risque. Une évaluation des risques rigoureuse est indispensable.

Vers une gestion proactive des violations de données

La mise à disposition d'un modèle standardisé par le CEPD reflète l'évolution du cadre réglementaire européen : passer d'une approche purement punitive à une gestion collaborative et transparente des violations. En utilisant ce modèle et en intégrant les bonnes pratiques de notification dans votre gouvernance des données, vous renforcez non seulement votre conformité RGPD, mais aussi la confiance de vos clients et partenaires.

La protection des données n'est pas un problème technique isolé, mais un élément central de la responsabilité sociale des organisations modernes.

Source : CEPD Publications

Besoin d'aide pour votre conformité RGPD ?

Dativo accompagne les PME, DPO et collectivités dans leur mise en conformité RGPD avec un logiciel simple et complet.

À lire aussi

Notification de fuite de données : le nouveau modèle harmonisé Violation de données : que dire aux personnes concernées ? Fuite ANTS : quelles obligations pour l'État face au RGPD ?

Tous les articles