L'atteinte à la sécurité des données personnelles est qualifiée de violation de données à caractère personnel.

Une atteinte aux données à caractère personnel se produit lorsqu’il y a une violation de la sécurité des données personnelles.

La violation de données personnelles peut résulter de divers événements, tels que la destruction, la perte, l’altération, la divulgation non autorisée, ou encore l’accès non autorisé à des données à caractère personnel. 

Ces incidents peuvent se produire de manière accidentelle ou intentionnelle. 

Le responsable du traitement et le sous-traitant doivent prendre en compte ces risques lorsqu’ils évaluent le niveau de sécurité à mettre en place pour protéger les données. – Article 32, 2° du Règlement général sur la protection des données

Il est donc crucial de mettre en œuvre des mesures adaptées pour prévenir ces risques, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement de données.

En effet, les risques pour les droits et libertés des personnes concernées peuvent être variés et se manifester de différentes manières. 

Certains risques peuvent être directement liés au traitement des données lui-même. Par exemple, une altération des données pourrait entraîner une discrimination à l'égard d'une personne.

D'autres risques, dits « extrinsèques », peuvent survenir en dehors du traitement initial, comme dans les cas suivants :

• usurpation d'identité,
• vol de données,
• perte de confidentialité de données protégées par un secret professionnel,
• divulgation non autorisée de données qui devraient rester confidentielles,
• réidentification de personnes malgré l'anonymisation des données,
• renversement de la pseudonymisation des données, permettant ainsi d'identifier des individus de manière non autorisée.

Ces risques, dont le degré de probabilité et de gravité varie, peuvent avoir des conséquences graves pour la vie privée et les droits des personnes. Ils peuvent en outre entraîner des dommages physiques, matériels ou un préjudice moral. – Article 5, 1°, f) de la Loi informatique et libertés ; Considérant 75 du Règlement général sur la protection des données

En cas de violation de données personnelles, le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles (MTO) pour : 

• identifier rapidement la nature et l’ampleur de la violation, 
• gérer la violation de manière efficace,
• limiter les conséquences, autant que possible, pour les personnes concernées.

Le responsable du traitement a également une obligation de notification.

Le responsable du traitement est soumis à des obligations de notification en cas de violation des données personnelles. 

Le sous-traitant doit, quant à lui, notifier toute violation de données à caractère personnel au responsable du traitement dans les meilleurs délais après en avoir pris connaissance. – Article 33, 1° du Règlement général sur la protection des données

Le responsable du traitement est tenu de notifier toute violation de données à caractère personnel à la CNIL (ou à l’autorité de contrôle chef de file en cas de traitement transfrontalier) dans les meilleurs délais et, si possible, dans un délai maximum de 72 heures suivant la connaissance de la violation 

Toutefois, cette obligation peut être écartée si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, ce que le responsable du traitement devra être en mesure de justifier. – Article 33, 1° du Règlement général sur la protection des données

Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, les responsables du traitement doivent en informer directement les personnes concernées. Ce risque élevé peut inclure une atteinte à la vie privée (par exemple, divulgation de données de santé ou réidentification d’une personne malgré une pseudonymisation).

Bien que la communication ne soit pas soumise à un délai strict de 72 heures, elle doit intervenir dans les meilleurs délais, conformément à une obligation de diligence. Cette rapidité est essentielle, notamment si la notification peut contribuer à réduire les effets de la violation. – Considérant 86 du Règlement général sur la protection des données

Indépendamment de l’obligation de notifier, le responsable du traitement est tenu de documenter dans le registre des traitements, toutes les violations, qu’elles engendrent ou non un risque pour les droits et libertés des personnes physiques. - Article 33, 5° du Règlement général sur le protection des données. Cette documentation est une application du principe de responsabilité et doit inclure :

• les faits relatifs à la violation,
• les effets de la violation,
• les mesures prises pour y remédier.

a) Dérogation fondée sur les circonstances

Le responsable du traitement est exempté de notifier les personnes concernées si :

1. Des mesures techniques et organisationnelles ont été mises en œuvre, rendant les données incompréhensibles pour des tiers non autorisés (par exemple, chiffrement efficace)
2. Des actions correctives ultérieures ont été prises pour neutraliser les risques pour les personnes concernées
3. La communication nécessiterait des efforts disproportionnés. Dans ce cas, une communication publique ou une méthode alternative permettant d’informer efficacement les personnes concernées peut être utilisée (par exemple, par l’intermédiaire de la CNIL)

– Article 34, 3° du Règlement général sur la protection des données

b) Dérogations fondée sur des impératifs légaux ou d’intérêt public

Certaines dérogations à l’obligation d’informer les personnes concernées sont prévues pour les traitements nécessaires au respect d’une obligation légale ou à l’exercice d’une mission d’intérêt public. – Article 23 du Règlement général sur la protection des données

Ces dérogations concernent notamment :

• les violations de confidentialité des données (divulgation ou accès non autorisé) qui, si notifiées, pourraient compromettre la sécurité nationale, la défense ou la sécurité publique. – Article 58 de la loi informatique et libertés
• des traitements spécifiques comme ceux relatifs à des fonctionnaires de police, agents des douanes, militaires, ou encore à certaines données de santé ou de gestion présentant un risque pour la sécurité publique. – Article 85 du décret du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

L’obligation de notification de l’accès non autorisé ou de la divulgation de données de santé n’a pas à être respectée lorsque ladite notification est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique au regard du volume des données concernées et des informations relatives à la vie privée qu’elles comportent. - Article 85, al. 2 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Le délit de négligence quant aux précautions utiles pour préserver la sécurité des données personnelles et notamment d’empêcher qu’elles ne soient communiquées à des tiers non autorisés, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. – Article 226-17 du Code pénal

L’insuffisance de l’obligation de sécurité est également soumise au contrôle du juge administratif lorsque le traitement des données est assuré par une autorité publique. – Article 83 du Règlement général sur la protection des données