Notification d'une fuite de données : explications

Qu’est-ce qu’une fuite de données ?
Qui doit notifier une fuite de données à l'Autorité ?
Dans quel délai doit-on procéder à la notification ?
À qui notifier ?
Notification à l'Autorité
Notification aux personnes concernées
Dans quels cas le responsable du traitement ne doit-il pas notifier la fuite de données aux personnes concernées ?
Dans quels cas le responsable du traitement ne doit-il pas notifier la fuite de données à l'Autorité ?

On parle d'une fuite de données dans des situations où des données à caractère personnel risquent d'être rendues publiques, perdues, détruites ou modifiées de manière illégitime.

Au sens strict, la notification d'une fuite de données en dehors du secteur des télécommunications n'est pas (encore) imposée légalement mais elle est plus que conseillée. La notification doit être effectuée par le responsable du traitement de données.

La notification permet à l'Autorité d'évaluer l'impact de la fuite de données conjointement avec le responsable du traitement des données ayant fait l'objet de la fuite et de formuler des recommandations quant aux règles légales relatives aux traitements de données et à la sécurisation de ceux-ci. Une telle notification présente également l'avantage qu'elle oblige le responsable à réfléchir sur la manière dont il organise et sécurise son traitement de données, aujourd'hui et à l'avenir.

Le délai de notification est en principe de maximum 72 heures après le constat de la fuite de données. Si dans un premier temps, le responsable du traitement de données ne dispose d'aucune information ou ne dispose que de peu d'informations, la notification peut toutefois se faire en deux étapes. Vous trouverez davantage d'explications dans le mode d'emploi joint au formulaire de notification.

Dans tous les cas, les notifications sont adressées à l'Autorité.

En outre, il faudra dans certains cas envoyer une notification aux personnes concernées, à savoir les personnes dont les données ont fait l'objet de la fuite.

La notification à l'Autorité se fait par le biais d'un formulaire sécurisé qui doit être envoyé via l'application formulaires électroniques. Vous trouverez davantage d'explications dans le mode d'emploi des formulaires électroniques.

Le responsable du traitement de données notifie la fuite de données aux personnes concernées par des moyens de communication qui garantissent une réception rapide de l’information. S’il est impossible d’identifier les personnes préjudiciées, le responsable peut informer ces personnes par le biais des médias, tout en cherchant à retrouver l'identité de ces personnes afin de pouvoir les informer également individuellement.

La notification aux personnes concernées est rédigée dans un langage clair et aisément compréhensible. L'Autorité recommande de fournir au moins les informations suivantes :

  • le nom du responsable du traitement de données ;
  • les coordonnées d'un point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; 
  • un résumé de l’incident qui a porté atteinte aux données à caractère personnel ;
  • la date présumée de l’incident ;
  • la nature et la teneur des données à caractère personnel concernées ;
  • les conséquences vraisemblables de la fuite de données pour les personnes concernées ;
  • les circonstances de la fuite de données ;
  • les mesures prises par le responsable pour remédier à la fuite de données ;
  • les mesures recommandées par le responsable aux personnes concernées pour atténuer les préjudices potentiels.
  • Lorsque, dans des cas exceptionnels, il existe un risque que la notification aux personnes concernées nuise à l’efficacité de l’enquête sur la fuite de données, le responsable peut être autorisé à retarder la notification. Dans ce cas, le responsable indique dans le formulaire de notification qu'il sollicite une telle autorisation et en précise les raisons ;
  • Lorsque le responsable a démontré que les données ont été cryptées ou ont été sécurisées d'une autre manière afin d'être incompréhensibles pour les tiers qui seraient éventuellement en leur possession. La clé pour lever la sécurité ne peut évidemment pas avoir fait l'objet d'une fuite non plus.

En cas de doute, vous pouvez demander conseil à l'Autorité quant à la notification ou non de la fuite de données aux personnes concernées.

Outre le cas dans lequel il ressort des circonstances que la fuite de données n’est pas susceptible de porter atteinte à la vie privée ou aux données à caractère personnel des personnes concernées, il existe deux autres cas dans lesquels le responsable du traitement de données n'est pas obligé d'informer l'Autorité de la fuite de données :

  • lorsque le responsable a démontré que les données ont été cryptées ou ont été sécurisées d'une autre manière afin d'être incompréhensibles pour les tiers qui seraient éventuellement en leur possession. La clé pour lever la sécurité ne peut évidemment pas avoir fait l'objet d'une fuite non plus ;
  • lorsque les personnes concernées ont immédiatement été informées de toute l'ampleur et des conséquences de la fuite de données ET que seul un groupe restreint de personnes (environ 100) est concerné ET qu'aucune donnée sensible (par ex. des données médicales, des données relatives à la religion, à l'orientation sexuelle, aux préférences politiques, à l'origine raciale ou ethnique) ou financière (par ex. la combinaison du nom d'une personne avec son numéro de compte ou son numéro de carte bancaire) n'est concernée par la fuite de données.

En cas de doute, il est toutefois préférable que le responsable fasse une notification à l'Autorité.

Même si le responsable du traitement de données ne notifie pas la fuite de données à l'Autorité, il est préférable qu'il tienne quand même un journal reprenant une brève description de chaque fuite de données ainsi qu'une explication de la non-notification de cette fuite.