Violations de données

📖 Définition

Selon l’article 4.12 du RGPD, une violation de données à caractère personnel est :

Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Autrement dit, il s’agit de tout incident de sécurité, qu’il soit intentionnel ou accidentel, qui compromet :

• la confidentialité (accès non autorisé, divulgation),

• l’intégrité (altération, falsification),

• la disponibilité (perte, effacement, indisponibilité).

⚠️ Exemples de violations typiques

• Suppression accidentelle de données médicales non sauvegardées.

• Perte d’une clé USB non chiffrée contenant la base clients.

• Piratage d’un serveur exposant des adresses e-mail et mots de passe.

• Envoi d’un e-mail contenant des données personnelles au mauvais destinataire.

• Fuite d’informations RH sur un espace partagé non sécurisé.

🧩 Les trois grands types de violations

🕓 Les obligations légales du responsable de traitement

Lorsqu’une violation survient, le responsable du traitement doit réagir sans délai.

1️⃣ Notification à l’autorité de protection (CNIL)

• Délai : 72 heures après en avoir eu connaissance.

• Contenu :

  • nature de la violation,

  • catégories et volume de données concernées,

  • conséquences probables,

  • mesures prises ou envisagées pour y remédier.

Si la notification n’est pas transmise dans les 72h, il faut justifier le retard.

📚 Référence : Article 33 du RGPD

2️⃣ Information des personnes concernées

Si la violation présente un risque élevé pour les droits et libertés, les personnes concernées doivent être informées dans les meilleurs délais :

• Nature de la violation,

• Données impactées,

• Mesures prises,

• Recommandations pour limiter les effets (ex. : changement de mot de passe).

📚 Référence : Article 34 du RGPD

3️⃣ Documentation interne obligatoire

Même lorsqu’aucune notification n’est requise, chaque violation doit être enregistrée dans un registre interne comprenant :

• les faits relatifs à la violation,

• ses effets,

• les mesures correctives prises.

Ce registre permet de démontrer la conformité (principe d’accountability).

🔁 Le cycle de gestion d’une violation

1. Détection → Identification d’un incident ou d’un comportement anormal.

2. Qualification → Vérifier si les données personnelles sont concernées.

3. Évaluation du risque → Impact sur la vie privée des personnes.

4. Notification (si nécessaire) → CNIL sous 72h, personnes concernées si risque élevé.

5. Remédiation → Mesures correctrices et préventives.

6. Documentation → Enregistrement dans le registre des violations.

7. Retour d’expérience → Ajustements organisationnels ou techniques.

🧠 Bonnes pratiques de sécurité

• Préparer un plan de gestion des incidents et le tester régulièrement.

• Former les équipes à la détection et la remontée rapide d’incidents.

• Mettre en place des mesures préventives (MFA, segmentation réseau, sauvegardes).

• Utiliser un registre centralisé pour tracer chaque violation et sa résolution.

• Évaluer la gravité via une grille de risque standardisée (ex. CNIL ou ISO 27005).

🧾 Gestion des violations dans Dastra

Dastra permet de documenter et piloter les violations de données de manière centralisée :

📚 Ressources utiles

• CNIL – Déclarer une violation de données personnelles

• ENISA – Data Breach Notification Guidelines

• ISO/IEC 27035 – Gestion des incidents de sécurité de l’information