Blog

Le RGPD: comprendre la définition des concepts de "personnes concernées", de "violations" et de "notifications"

Thumbnail
Le RGPD recense un certain nombre de contrôles et d’activités clés en lien avec les personnes concernées et les données personnelles, notamment la notification de violation de données et l’obligation de nommer un délégué à la protection des données.

Dans le premier blog de cette série, nous avions présenté le RGPD et examiné l’impact qu’il commence à avoir sur les sociétés dans le monde entier. Largement considéré comme l’une des réglementations gouvernementales les plus strictes en matière de protection de la vie privée à ce jour, le RGPD précise ce qu’est une utilisation acceptable des données personnelles par les organisations, comment celles-ci doivent organiser leur approche de la gestion des données personnelles et les amendes (ou le risque) en cas de protection insuffisante des données personnelles. Les amendes peuvent être conséquentes, jusqu’à représenter 4 % du chiffre d’affaires mondial (ceci sera traité de façon plus approfondie dans un blog ultérieur).

Le RGPD est la première réglementation de l’UE en matière de confidentialité des données qui définit explicitement la « violation de données personnelles » et exige qu’elle soit notifiée lorsqu’elle se produit. Selon le RGPD, une « donnée personnelle » est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable (“personne concernée”) ». En particulier, il n’existe pas un ensemble d’informations (ou champs de données) définissant une personne concernée. Extrait du texte :

est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale

Tout en énumérant des domaines communs, l’élément essentiel mis en évidence par cette définition est que les données pertinentes sont celles pouvant être utilisées afin d’identifier (par quelque moyen que ce soit) une personne déterminée. Pour donner un exemple :

identity

Le premier exemple donne suffisamment d’informations pour identifier une personne concernée. Mais cela pourrait également être le cas avec le second exemple : même si le nom de la personne concernée n’est pas indiqué mais que son âge ou son sexe l’est, l’on pourrait considérer qu’il s’agit de données personnelles si cela suffit à identifier la personne. Par exemple, une organisation pourrait n’avoir qu’une seule personne âgée de 23 ans ou de sexe masculin dans un bureau. L’ensemble de données qui doivent donc être contrôlées en vertu du RGPD est bien supérieur à ce qui était initialement escompté. Ce défi se complique lorsque (ce n’est pas inhabituel) les données utilisateurs s’étendent sur des tables (ou bases de données). Nous reviendrons sur ce qui doit être décelé et rendu anonyme et les défis que cela comporte lorsque nous parlerons de pseudonymisation des données.

Le RGPD recense un certain nombre de contrôles et d’activités clés en lien avec les personnes concernées et les données personnelles. Les deux premiers étant la notification de violation de données et l’obligation de nommer un délégué à la protection des données.

Notification de violation de données

En bref, le RGPD exige que les organisations qui subissent une violation de données le signalent aussi rapidement que possible.

Plus précisément, en vertu du RGPD, une « violation de données personnelles » est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ». Remarquez que la définition des données personnelles ci-dessus comprend tout ce qui peut permettre d’identifier une ou plusieurs personnes.

Dans le cas d’une violation de données personnelles, les organisations doivent informer l’autorité de contrôle. Le RGPD définit deux concepts distincts qui se réfèrent en général (mais pas systématiquement) aux organisations : le responsable du traitement des données (ou responsable) et le sous-traitant chargé du traitement des données (ou sous-traitant).

  • Le responsable des données est l’entité (dans la plupart des cas une organisation, mais parfois un individu) qui est à l’origine de la décision de traitement des données personnelles. Une société de covoiturage par exemple souhaite analyser les habitudes d’utilisation de ses passagers afin de mieux répartir les conducteurs. Remarquez que l’entité, c’est-à-dire le responsable, n’est pas nécessairement celui qui analyse/traite les données.
  • Le sous-traitant en charge du traitement des données est l’entité (à nouveau une personne, une organisation, etc.) qui effectue en réalité le traitement ou l’analyse des données. Les banques par exemple externalisent fréquemment l’analyse des fraudes et la confient à des tiers : la banque est alors le responsable (elle décide de ce qui est fait avec les données) et le tiers est le sous-traitant (celui qui effectue en réalité l’analyse).

Dans le cas d’une violation, l’organisation (vraisemblablement sous la responsabilité du délégué à la protection des données, sujet qui fera l’objet d’un futur article de blog) doit avertir l’autorité de contrôle de l’État membre dans lequel le responsable du traitement possède son établissement principal ainsi que les personnes concernées par la violation. En clair, si une organisation a son siège à Francfort et que la plupart de ses clients sont en Allemagne, l’autorité de contrôle allemande doit être avertie. L’article 51 du RGPD traite de la création de l’autorité de contrôle dans chaque État membre. Nous verrons comment cela se passe en pratique lorsque la loi intervient, mais il n’est pas déraisonnable de supposer que de multiples autorités de contrôle doivent être averties en cas de violation, dans la mesure où l’entreprise a souvent une existence légale dans plusieurs États de l’UE.

La notification doit être faite "dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance." Certains ont peut-être eu connaissance de la récente violation Equifax, l’entreprise a attendu six semaines avant de la rendre publique. Cette annonce tardive semble avoir eu pour conséquence d’aggraver la situation : les dirigeants ont eu le temps de vendre des actions de la société et il a été impossible pour le public de prendre des mesures de protection d’identité.

Toute notification à l’autorité de contrôle doit inclure« au moins » les éléments suivants:

  1. La nature de la violation de données personnelles, incluant le nombre et les catégories de personnes concernées ainsi que les enregistrements de données personnelles concernés.
  2. Le nom et les coordonnées du délégué à la protection des données (nous examinerons son rôle plus en détail dans un futur article).
  3. Les conséquences probables de la violation de données personnelles.
  4. Les propositions du responsable pour remédier à la violation, y compris toute mesure d’atténuation.

Le RGPD prévoit quelques exceptions à l’exigence supplémentaire de notification des personnes concernées par la violation des données personnelles si:

  1. Le responsable a mis en place des mesures techniques et organisationnelles de protection appropriées qui rendent les données inintelligibles à toute personne n’étant pas autorisée à accéder à ces données (voir notre blog à paraître sur la pseudonymisation).
  2. Le responsable prend des mesures à la suite de la violation de données personnelles afin de "garantir que le risque élevé pour les droits et libertés des personnes concernées soit peu susceptible de se matérialiser."
  3. La notification à toute personne concernée impliquerait un effort disproportionné ; dans ce cas, d’autres mesures de communication pourraient être utilisées.

Le respect des exigences de notification de la violation, tel qu’exposé ci-dessus, ne constitue qu’une partie de l’esprit du règlement. Pour être efficace, deux autres étapes sont nécessaires : évaluer quelles données détenues par l’organisation sont considérées être des « données personnelles » et avant toute chose être conscient qu’une violation a eu lieu. Ce dernier point se situe bien au-delà de notre domaine d’expertise, mais nous reviendrons sur les données personnelles dans de futurs articles, verrons comment les identifier, et les mesures qui peuvent être prises pour réduire le risque de violation / la sanction en cas de violation.

Au final toutefois, le facteur principal de compréhension de ces exigences se résume aux éventuelles sanctions. Avec un plafond atteignant 4 % du chiffre d’affaires mondial (sur la base de l’exercice précédent), l’impact d’une violation est immense. Mais les implications vont encore plus loin. Non seulement les organisations doivent garantir qu’elles protègent les données individuelles, mais elles doivent également établir un changement organisationnel parmi les employés afin de comprendre véritablement ce que cela recouvre et comment les employés dans leurs opérations quotidiennes peuvent agir au mieux des intérêts des personnes concernées.

Ne manquez pas notre épisode de la semaine prochaine, nous nous intéresserons aux fonctions obligatoires et aux procédures d’investigation informatique!

Tags