RGPD8 min de lecture
Notification de violation de données : la règle des 72 heures
Le RGPD exige que les organisations signalent certaines violations de données personnelles aux autorités de contrôle dans les 72 heures suivant la prise de connaissance de la violation. Les notifications tardives ou manquées peuvent entraîner des sanctions supplémentaires au-delà de celles liées à la violation elle-même.
Points clés
| Point | Résumé |
|---|---|
| Délai de 72 heures | Signaler à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation |
| Quand notifier l'autorité | Toute violation susceptible d'entraîner un risque pour les droits et libertés des individus |
| Quand notifier les individus | Violations susceptibles d'entraîner un risque ÉLEVÉ pour les individus |
| Types de violations | Confidentialité (accès non autorisé), Intégrité (données altérées), Disponibilité (données perdues/détruites) |
| Documenter toutes les violations | Même celles non signalées doivent être consignées dans votre registre de violations |
Réponse rapide : Signalez les violations de données à votre autorité de contrôle dans les 72 heures si elles présentent un risque pour les individus. Notifiez directement les individus concernés si le risque est élevé. Documentez TOUTES les violations dans un registre de violations, même celles ne nécessitant pas de notification.
Qu'est-ce qu'une violation de données personnelles ?
Une violation survient quand il y a un incident de sécurité affectant des données personnelles :
Types de violations de données personnelles :
Violation de confidentialité :
- Accès non autorisé aux données
- Données divulguées au mauvais destinataire
- Attaques de hacking ou phishing
- Appareils perdus ou volés contenant des données
Violation d'intégrité :
- Données altérées sans autorisation
- Corruption de données personnelles
- Falsification de registres
- Malware modifiant les données
Violation de disponibilité :
- Données perdues ou détruites
- Chiffrement par ransomware
- Pannes système perdant des données
- Suppression accidentelle
- Données rendues inaccessibles
Exemples de violations
| Incident | Type | À signaler ? |
|---|---|---|
| Un hacker accède à la base clients | Confidentialité | Oui |
| Email envoyé au mauvais destinataire avec données personnelles | Confidentialité | Dépend du risque |
| Un ransomware chiffre les données utilisateurs | Disponibilité | Oui, sauf si la sauvegarde restaure |
| Laptop avec données non chiffrées volé | Confidentialité | Oui |
| Un bug supprime accidentellement des profils utilisateurs | Disponibilité/Intégrité | Oui |
| Une attaque de phishing compromet des identifiants | Confidentialité | Oui |
| Un employé consulte les dossiers de son ex | Confidentialité | Dépend de l'échelle/préjudice |
| Une panne serveur détruit les données de sauvegarde | Disponibilité | Oui |
La décision de notification
Toutes les violations ne nécessitent pas de notification. Utilisez ce framework :
Arbre de décision de notification de violation :
Une violation de données personnelles s'est produite ?
- Non → Documenter en interne, pas de notification nécessaire
- Oui → Continuer l'évaluation
Risque pour les droits et libertés des individus ?
- Peu probable → Documenter en interne, pas de notification à la DPA
- Risque existant → Notifier l'autorité de contrôle dans les 72 heures
Risque élevé pour les individus ?
- Non → Notification à l'autorité uniquement
- Oui → Notifier également les individus concernés sans délai excessif
Facteurs d'évaluation des risques
| Facteur | Risque plus élevé | Risque plus faible |
|---|---|---|
| Type de données | Financières, santé, numéros d'identification | Noms uniquement |
| Volume | Beaucoup d'individus affectés | Peu affectés |
| Identifiabilité | Directement identifiable | Pseudonymisé |
| Chiffrement | Non chiffré | Correctement chiffré |
| Contexte | Contexte sensible | Non sensible |
| Potentiel de préjudice | Vol d'identité, discrimination | Impact minimal |
| Vulnérabilité | Enfants, groupes vulnérables | Population générale |
Délais de notification
| Notification | Délai | Destinataire |
|---|---|---|
| Autorité de contrôle | 72 heures depuis la prise de connaissance | Autorité de protection des données |
| Individus (si risque élevé) | Sans délai excessif | Personnes concernées affectées |
| Sous-traitant au responsable | Sans délai excessif | Organisation responsable |
Ce que signifie "72 heures"
- Le compteur démarre quand vous prenez "connaissance" de la violation
- "Connaissance" = certitude raisonnable qu'une violation s'est produite
- Les weekends et jours fériés comptent
- Peut notifier par phases si les informations évoluent
- Doit expliquer tout retard au-delà de 72 heures
Notifier l'autorité de contrôle
Informations requises
| Élément | Détails à fournir |
|---|---|
| Nature de la violation | Ce qui s'est passé |
| Catégories de données | Types de données personnelles impliquées |
| Catégories de personnes concernées | Types de personnes affectées |
| Nombres approximatifs | Personnes concernées et enregistrements |
| Coordonnées du DPO/contact | Qui contacter pour les questions |
| Conséquences | Conséquences probables de la violation |
| Mesures prises | Actions pour remédier et atténuer |
Template de notification
Text
Notification de violation de données à l'autorité de contrôle
────────────────────────────────────────────────────────
Organisation : [Nom de votre entreprise]
Référence : [Numéro de référence de la violation]
Date : [Date de notification]
Heure de prise de connaissance : [Quand vous avez pris connaissance]
1. Nature de la violation
[Description de ce qui s'est passé]
2. Catégories de données affectées
- [ex : Noms, adresses email]
- [ex : Informations financières]
3. Personnes concernées affectées
- Catégorie : [ex : Clients]
- Nombre approximatif : [Nombre]
- Enregistrements affectés : [Nombre]
4. Coordonnées
- DPO/Contact confidentialité : [Nom]
- Email : [Email]
- Téléphone : [Téléphone]
5. Conséquences probables
[Évaluation du préjudice potentiel]
6. Mesures prises/proposées
- Immédiates : [Actions prises]
- Remédiation : [Actions prévues]
- Prévention : [Mesures futures]Notifier les individus concernés
Quand une violation présente un risque élevé, vous devez notifier les individus.
Quand la notification individuelle est requise
| Scénario | Notification individuelle |
|---|---|
| Données sensibles non chiffrées exposées | Oui |
| Données financières compromises | Oui |
| Identifiants de connexion divulgués | Oui |
| Informations de santé consultées | Oui |
| Données chiffrées (clé non compromise) | Généralement non |
| Données anonymes/pseudonymes | Généralement non |
Que dire aux individus
| Élément | Contenu |
|---|---|
| Ce qui s'est passé | Description en langage simple |
| Données affectées | Quelles données les concernant étaient impliquées |
| Conséquences | Impacts potentiels pour eux |
| Mesures prises | Ce que vous faites à ce sujet |
| Leurs actions | Ce qu'ils devraient faire (changer mot de passe, etc.) |
| Contact | Comment vous joindre avec des questions |
Template de notification individuelle
Text
Objet : Avis de sécurité important de [Entreprise]
Cher/Chère [Client/Utilisateur],
Nous vous écrivons pour vous informer d'un incident de sécurité
qui peut avoir affecté vos informations personnelles.
Ce qui s'est passé :
[Description claire de la violation]
Quelles informations étaient impliquées :
[Types de données spécifiques affectées]
Ce que nous faisons :
[Mesures que vous prenez pour remédier à la violation]
Ce que vous pouvez faire :
[Actions recommandées pour l'individu]
Pour plus d'informations :
[Coordonnées et ressources]
Nous nous excusons sincèrement pour cet incident et sommes
engagés à protéger vos informations.
[Signature]Exceptions à la notification individuelle
Vous pouvez ne pas avoir besoin de notifier les individus si :
- Données protégées : Le chiffrement ou des mesures ont rendu les données inintelligibles
- Risque éliminé : Des mesures ultérieures ont éliminé le risque
- Effort disproportionné : Communication publique à la place (mais c'est rare et risqué)
Processus de réponse aux violations
Workflow de réponse aux incidents
Chronologie de réponse aux violations :
Heure 0 : Détection
- Incident détecté ou signalé
- Évaluation initiale commence
- Équipe de réponse aux incidents activée
Heures 0-24 : Confinement
- Arrêter la violation en cours
- Préserver les preuves
- Évaluer le périmètre et l'impact
- Tout documenter
Heures 24-48 : Évaluation
- Déterminer si des données personnelles sont affectées
- Identifier les personnes concernées impactées
- Évaluer le niveau de risque
- Décider des exigences de notification
Heures 48-72 : Préparation de la notification
- Préparer la notification à l'autorité
- Rédiger les communications individuelles (si nécessaire)
- Revue juridique
- Approbation de la direction
Heure 72 : Notification à l'autorité
- Soumettre à l'autorité de contrôle
- Commencer les notifications individuelles
- Continuer l'investigation
Après 72 heures : Suivi
- Compléter l'investigation
- Soumettre les informations complémentaires
- Mettre en œuvre la remédiation
- Mettre à jour la documentation
Documentation interne
Même si aucune notification externe n'est requise, documentez :
| Élément | Enregistrement |
|---|---|
| Faits de la violation | Ce qui s'est passé, quand, comment |
| Effets | Périmètre et impact |
| Actions correctives | Ce que vous avez fait |
| Justification de la décision | Pourquoi vous avez/n'avez pas notifié |
| Chronologie | Dates et heures clés |
| Leçons apprises | Comment prévenir la récurrence |
Construire la préparation aux violations
Checklist de préparation
Politiques et procédures :
- Plan de réponse aux incidents documenté
- Critères d'évaluation des violations définis
- Templates de notification préparés
- Procédures d'escalade claires
Préparation de l'équipe :
- Équipe de réponse aux incidents identifiée
- Rôles et responsabilités assignés
- Liste de contacts maintenue
- Formation régulière menée
Capacités techniques :
- Mécanismes de détection en place
- Capacité forensique disponible
- Logging et pistes d'audit activés
- Sauvegarde et récupération testées
Communication :
- Coordonnées de la DPA à jour
- Canaux de communication client prêts
- Conseiller juridique accessible
- RP/communications préparées
Erreurs courantes
| Erreur | Conséquence | Prévention |
|---|---|---|
| Manquer la fenêtre de 72 heures | Amendes supplémentaires | Processus d'escalade clair |
| Notification incomplète | Suivi de l'autorité | Utiliser des templates complets |
| Sur-notification | Alarme inutile | Évaluation des risques appropriée |
| Sous-notification | Action réglementaire | Pencher vers la prudence |
| Mauvaise communication individuelle | Dommage réputationnel | Message clair et empathique |
| Pas de documentation | Ne peut pas démontrer la conformité | Tout documenter |
Comment Bastion peut vous aider
Une réponse efficace aux violations nécessite une préparation avant que les incidents ne surviennent. Le milieu d'une violation n'est pas le moment de construire votre capacité de réponse. Travailler avec des partenaires expérimentés aide à s'assurer que vous êtes prêt quand les incidents se produisent.
| Défi | Comment nous aidons |
|---|---|
| Planification de réponse aux incidents | Procédures de réponse pré-construites adaptées à votre organisation |
| Évaluation des violations | Conseils experts sur l'évaluation des risques et les exigences de notification |
| Préparation des notifications | Templates et support de revue pour les communications aux autorités et aux individus |
| Communication avec les autorités | Expérience de support des organisations dans leurs interactions avec les DPA |
| Remédiation post-violation | Recommandations pour les améliorations de sécurité et la prévention de la récurrence |
Avoir un support expert disponible pendant les situations de violation aide à s'assurer que les notifications répondent aux exigences et que les communications sont gérées de manière appropriée, réduisant le risque réglementaire et l'impact réputationnel.
Vous cherchez de l'aide pour la préparation à la réponse aux violations ? Parlons-en →