Il n’est pas rare de lire que le RGPD, à compter du 25 mai 2018, va généraliser à toutes les entreprises l’obligation de notification des failles de sécurité qui pèse aujourd’hui, au titre du « Paquet Telecom » transposé dans notre droit dans le Code des postes et des communications électroniques, sur les fournisseurs de services de communications électroniques.
Or, cette affirmation - sans nuance - est erronée ! Elle naît de la confusion entre les notions de faille de sécurité et violation de données. Si la faille de sécurité peut être définie comme une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données, la notion de violation de données est définie juridiquement à l’article 4 du RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».
L’article 33 du RGPD intitulé (à juste titre) : « Notification à l’autorité de contrôle d’une violation de données » impose au responsable du traitement, i.e. l’entité qui détermine la finalité du traitement des données à caractère personnel, une obligation de notifier les violations de donnée à l’autorité de contrôle compétente (la CNIL en France) dans les meilleurs délais et, si possible, soixante-douze heures au plus tard après en avoir pris connaissance, à moins que ladite violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Si l’entreprise n’a pas été en mesure d’effectuer cette notification dans les soixante-douze heures, elle devra expliquer les motifs du retard.
A noter que les sous-traitants des traitements des données à caractère personnel, i.e. l’entité qui traite des données à caractère personnel uniquement sous les instructions et pour le compte du responsable de traitement, n’ont qu’une obligation de notification des violations de données à caractère personnel auprès de leur responsable du traitement dans les meilleurs délais après en avoir pris connaissance.
Nous sommes donc bien loin d’une généralisation à toutes les entreprises d’une quelconque obligation de notification à la CNIL de toutes les failles de sécurité. Non seulement, ce qu’il faut notifier, ce sont les violations de données, mais seulement celles qui engendrent un risque pour les droits et libertés des personnes physiques.
En d’autres termes, les entreprises qui auront mis en place des outils de protection des données à caractère personnel qu’elles traitent (par exemple grâce à un dispositif efficace de chiffrement), n’auront pas à notifier à la CNIL les violations de données dont elles pourraient être victimes.
Alors quid des failles de sécurité ? Il est préconisé, au titre du principe de responsabilisation qui pèsera sur les entreprises (« accountability »), de les documenter et, surtout, de documenter les mesures qui ont été prises pour pallier lesdites failles de sécurité. Il s’agit ici, non pas d’une obligation juridique, mais du signe d’une bonne gestion de la politique de protection des traitements de données à caractère personnel.
S’agissant des violations de données, l’article 33 du RGPD précité dispose en son dernier alinéa que « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article ».
Par ailleurs, l’article 34 du RGPD précise que seule une violation de données à caractère personnel susceptible d’engendrer « un risque élevépour les droits et libertés d’une personne physique » doit faire l’objet d’une communication par le responsable de traitement à la personne concernée et ce, dans les meilleurs délais.
En cas de non-respect des obligations prévues au titre des articles 33 et 34 du RGPD, les entreprises peuvent se voir infliger en cas de contrôle une amende administrative pouvant s’élever jusqu'à 10.000.000€ ou, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (article 83-4-a du RGPD).
Alors veillez à bien respecter votre obligation de notifier… mais uniquement ce qui doit vraiment être notifié !
Ajouter un commentaire