Obligations

Violation de données

Une violation de données est un incident de sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles.

Définition complète

Conformément à l'article 4(12) du RGPD, une violation de données à caractère personnel ne se limite pas au seul piratage informatique. Elle englobe tout incident de sécurité qui compromet la confidentialité, l'intégrité ou la disponibilité des données. Cela signifie qu'une perte accidentelle (disque dur volé), une modification non autorisée ou même une indisponibilité prolongée des données suite à un bug technique constituent juridiquement des violations. Pour le dirigeant de PME, l'enjeu est double : technique et réglementaire. Dès qu'une telle faille est détectée, l'entreprise doit évaluer le risque pour les droits et libertés des personnes concernées. Si le risque est avéré, l'article 33 impose une notification à la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance. Si le risque est élevé, l'article 34 oblige également à informer individuellement les personnes touchées. La gestion d'une violation repose sur la traçabilité. Même si l'incident ne nécessite pas de notification à la CNIL, l'entreprise doit obligatoirement consigner l'événement dans un registre interne des violations, détaillant les faits, ses effets et les mesures correctives adoptées pour éviter toute récidive.

Exemple concret en PME

Une secrétaire de PME envoie par erreur un tableau Excel contenant les salaires et coordonnées bancaires de tous les employés à l'ensemble du personnel via un email groupé. Bien qu'il n'y ait pas eu d'intrusion externe, il s'agit d'une violation de confidentialité. L'entreprise doit alors analyser si cet incident peut porter préjudice aux salariés et, le cas échéant, notifier la CNIL et les collaborateurs concernés.

L'erreur fréquente à éviter

L'erreur classique est de croire qu'une violation n'existe que s'il y a un vol de données par un hacker. Beaucoup de PME ignorent les pertes matérielles (clé USB perdue) ou les erreurs d'envoi d'emails, pensant qu'en l'absence de malveillance, il n'y a pas d'obligation légale. Or, la négligence est tout autant sanctionnable que la faille technique.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site