[mis à jour le 31 octobre 2017] L’obligation de notification des failles-fuites de sécurité (des « violations de données à caractère personnel » en français de la Commission européenne dans le texte) est une des grandes nouveautés de la GDPR (articles 33 et 34). Cette obligation légale est la conséquence logique de l’obligation de sécurisation des traitements de données personnelles (voir notre précédent FOCUS sur ce point).
L’analyse complete des obligations du sous-traitant et du responsable du traitement en cas de faille/fuite de sécurité est détaillée dans la présentation ci-dessous. Vous y trouverez le détail des informations à fournir, selon le cas, à la CNIL et/ou aux personnes dont les données ont fuitées… Et comme toujours, un résumé sous le slider en version littéraire.
Que penser de cette obligation de notification des failles-fuites de sécurité ?
N’est-il pas normal que le sous-traitant auquel le responsable du traitement confie SES données à caractère personnel informe très rapidement son client de tout problème rencontré ?
N’est-il pas normal pour les professionnels de devoir documenter sérieusement toute failles-fuites de sécurité rencontrée ?
N’est-il pas normal que l’Autorité de contrôle (la CNIL) soit informée dans tous les cas de failles/fuites de données ? Sauf quand l’entreprise peut démontrer que manifestement, les risques (tout court) pour les droits et libertés sont faibles  ?
N’est-il pas normal que la personne dont les données sont traitées soit quand même informée que ses données sont dans la nature, au moins au cas de « risque élevé » pour leurs droits et libertés ?
Alors ? On arrête la psychose et on met en place de bonnes pratiques devenues obligatoires ?
[wonderplugin_gallery id= »135″]

Une large définition des « violations de données à caractère personnel »

La définition juridique de « violation de données » recouvre en réalité 2 notions bien distinctes : l’intrusion dans un système de traitement d’une part, et les conséquences de cette intrusion d’autre part.

2 types d’obligations de notification des failles-fuites de sécurité

La GDPR distingue « l’obligation de notification à l’autorité de contrôle » (Article 33) de « l’obligation de communication à la personne concernée » (Article 34). « Notification » et « communication » doivent manifestement être perçues comme des synonymes : il s’agit bel et bien d’une notification des failles-fuites de sécurité tant à la CNIL qu’aux personnes concernées. On parlera donc de « notification » dans les deux cas. Si les deux présentent des similitudes, chacune présente tout de même des spécificités. Il va falloir regarder les 2 pour comprendre…

Sur qui pèse l’obligation de notification des failles-fuites de sécurité ?

La mécanique est simple.
1) Le sous-traitant doit notifier tout problème à son client, le responsable du traitement. Sans délai. Au moins, c’est simple à comprendre.

2) Le responsable du traitement est tenu par une obligation de notification des failles-fuites de sécurité à la CNIL lorsque (première partie du « critère de la mort« ) :
« A MOINS QUE la violation de données NE soit PAS susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ». Bien sûr, la charge de la preuve de cette absence d’obligation de notification pèse sur le professionnel qui souhaite s’affranchir de son obligation.

3) Le responsable du traitement est tenu par une obligation de notification des failles-fuites de sécurité vis-à-vis des personnes concernées lorsque (seconde partie du « critère de la mort« ) :
« lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Oui, encore cette notion centrale dans la GDPR de « risque élevé pour les droits et libertés d’une personne physique ». Comme pour l’analyse d’impact obligatoire…

Les 3 cas dérogatoire à l’obligation de notification des failles/fuites de sécurité à la personne concernée

1 cas principal à retenir au titre des « bonnes pratiques » que l’entreprise est incitée à mettre en oeuvre : si les données ont été chiffrées (article 34.3.a) GDPR), les conséquences d’une fuite sont probablement négligeables. D’ou cette absence de communication obligatoire des personnes concernées.

Une synthèse peut-être ?

Encore merci à l’équipe « licensing » des Editions Delcourt / Soleil, j’ai cité Sébastien Le Foll et Lucie Massena sans lesquels aucune de toutes ces (belles) présentations n’aurait existé. Ben oui, faut bien le rappeler !