Notification d'une fuite de données

La protection des données à caractère personnel basée sur une analyse des risques et l'obligation de notification de fuites de données ("violations de données à caractère personnel" dans le RGPD) à l'Autorité sont des éléments essentiels du RGPD.

QUAND Y A-T-IL UNE OBLIGATION DE NOTIFICATION ?

L'obligation de notification à l'Autorité s'applique lorsqu'il est question d'un "risque pour les droits et libertés de la personne concernée". Il peut s'agir par exemple d'une perte de confidentialité d'une communication, rendant temporairement des données de facturation, des adresses, etc. accessibles à des tiers.

Vous avez en outre l'obligation de signaler la violation à la personne concernée lorsqu'il y a un risque élevé pour cette dernière. Plusieurs méthodes permettent d'évaluer des risques élevés pour les personnes concernées.

Pour l'obligation de notification dans le secteur des télécommunications, il existe aussi, outre le RGPD, des règles similaires au niveau belge et européen.

QUI DOIT EFFECTUER LA NOTIFICATION AUPRÈS DE L'AUTORITÉ?

La notification doit être faite par le responsable du traitement ou par le sous-traitant si le responsable du traitement a conclu des conventions écrites explicites à cet égard avec le sous-traitant.

La notification permet à l'Autorité d'évaluer le risque de la fuite de données conjointement avec le responsable du traitement des données ayant fait l'objet de la fuite et de formuler des recommandations quant à la réduction du risque pour la personne concernée, au respect des règles légales relatives aux traitements de données et à la sécurisation de ceux-ci. Une telle notification présente également l'avantage d'obliger le responsable à réfléchir aux modalités d'organisation et de sécurisation de son traitement de données, aujourd'hui et à l'avenir.

DANS QUEL DÉLAI ?

En dehors du secteur des télécommunications, le délai de notification est de maximum 72 heures après le constat de la fuite de données. Si dans un premier temps, le responsable du traitement ne dispose pas d'informations suffisantes pour analyser la nature du problème, il peut procéder à une première notification et la compléter, après analyse, par une notification complémentaire. Vous trouverez plus d'explications dans le mode d'emploi joint au formulaire de notification .

À QUI ?

Dans tous les cas, la notification sera adressée à l'Autorité. En outre, il faudra dans certains cas envoyer une notification aux personnes concernées, à savoir les personnes dont les données ont fait l'objet de la fuite.

COMMENT ADRESSER LA NOTIFICATION AUPRÈS DE L'AUTORITÉ ?

Dans un souci de simplicité, la notification est adressée à l'Autorité (que ce soit pour le secteur des télécommunications ou non) via un formulaire en ligne.

COMMENT ADRESSER LA NOTIFICATION AUX PERSONNES CONCERNÉES ?

Le responsable du traitement de données notifie la fuite de données aux personnes concernées par des moyens de communication qui garantissent une réception rapide de l’information. S’il est impossible d’identifier les personnes préjudiciées, le responsable peut informer ces personnes par le biais des médias, tout en cherchant à retrouver l'identité de ces personnes afin de pouvoir les informer individuellement aussi.

La notification aux personnes concernées est rédigée dans un langage clair et aisément compréhensible. L'Autorité recommande de fournir au moins les informations suivantes :

  • la nature du problème
  • une brève description des données impactées
  • une brève description des mesures que le responsable du traitement a prises pour résoudre le problème
  • les éventuelles conséquences de la fuite de données pour les personnes concernées
  • les coordonnées d'un point de contact auprès duquel on peut obtenir des informations supplémentaires (par exemple les coordonnées du délégué à la protection des données (ci-après DPO pour Data Protection Officer)).

DANS QUELS CAS LES FUITES DE DONNÉES NE DOIVENT-ELLES PAS ÊTRE NOTIFIÉES AUX PERSONNES CONCERNÉES ?

Le DPO doit toujours être impliqué dans toute situation concernant la protection de données à caractère personnel. En cas de doute, le DPO doit donc être consulté pour savoir s'il faut ou non notifier la fuite de données aux personnes concernées.

DANS QUELS CAS LES FUITES DE DONNÉES NE DOIVENT-ELLES PAS ÊTRE NOTIFIÉES À L'AUTORITÉ ?

Outre le cas dans lequel les circonstances indiquent que la fuite de données ne portera pas atteinte à la vie privée ou aux données à caractère personnel des personnes concernées, il existe deux autres cas dans lesquels le responsable du traitement n'est pas obligé d'informer l'Autorité de la fuite de données :

  • lorsque le responsable a démontré que les données avaient été cryptées ou sécurisées d'une autre manière afin d'être rendues incompréhensibles pour les tiers qui seraient éventuellement en leur possession. La clé pour lever la sécurité ne peut évidemment pas avoir fait l'objet d'une fuite non plus ;
  • lorsque les personnes concernées ont immédiatement été informées de toute l'ampleur et des conséquences de la fuite de données ET que seul un groupe restreint de personnes (environ 100) est concerné ET qu'aucune donnée sensible (par exemple des données médicales, des données relatives à la religion, à l'orientation sexuelle, aux préférences politiques, à l'origine raciale ou ethnique) ou financière (par exemple la combinaison du nom d'une personne avec son numéro de compte ou son numéro de carte bancaire) n'est concernée par la fuite de données.

En cas de doute, il est toutefois préférable que le responsable fasse une notification à l'Autorité.

JOURNALISATION DE CHAQUE INCIDENT

Même si le responsable du traitement ne notifie pas la fuite de données à l'Autorité, il a quand même tout intérêt à tenir un journal des incidents. Ce journal contiendra une brève description de chaque fuite de données ainsi qu'une explication de la non-notification de cette fuite.