[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f9nyqeEjC04nADKmBaFQQYha42kGak8De0EonNl9YMA4":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":4,"state":17,"author":18,"authorId":19,"datePublication":23,"dateCreation":24,"dateUpdate":25,"mainCategory":26,"categories":41,"metaDatas":68,"imageUrl":69,"imageThumbUrls":70,"id":78},false,"## Article 4.12 : violation des données RGPD\r\n\r\n**L'article 4.12 du RGPD** définit la violation de données comme étant :\r\n\r\n> \"*une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données*.\"\r\n\r\nAutrement dit, il s'agit d'un incident de sécurité se produisant de manière **intentionnelle ou accidentelle** et compromettant l'**intégrité**, la **confidentialité** ou la **disponibilité** des données personnelles.\r\n \r\n![image](https://static.dastra.eu/richtextbackoffice/6c6200b0-ace2-4d30-a720-1871c93f00b9/capture-dcran-2022-04-15-094005.png)\r\n \r\nEffectivement, l'incident de sécurité peut compromettre la confidentialité, intégrité ou encore disponibilité, cela signifie que :\r\n \r\n1. la « violation de la **confidentialité** » : la divulgation ou l’accès non autorisé(e) ou accidentel(elle) à des données à caractère personnel ;\r\n2. la « violation de l’**intégrité** » : l’altération non autorisée ou accidentelle de données à caractère personnel ;\r\n3. la « violation de la **disponibilité** » : la destruction ou la perte accidentelle ou non autorisée de données à caractère personnel.\r\n\r\nAinsi, une **violation de données** peut se **matérialiser** comme :\r\n\r\n1. la réception d'un mail nous n'étant pas destiné et comprenant des données personnelles\r\n2. introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves\r\n3. la perte d'une clef usb non sécurisée contenant une copie de la base clients d’une société\r\n\r\n**Définition simplifiée d'une violation de données :**\r\n\r\nUne violation de données personnelles est un incident compromettant la sécurité des informations personnelles, susceptible de nuire aux droits et libertés des individus concernés.\r\n\r\n## Les principaux types de violations de données peuvent être regroupés par catégories :\r\n\r\n| Rançongiciel | Attaque exfiltration de données | Source interne risque humain | Appareils ou documents papier perdus ou volés | Erreur d'envoi | Ingénierie sociale |\r\n| --- | --- | --- | --- | --- | --- |\r\n| Sans exfiltration de données et avec sauvegarde ; Sans sauvegarde ; Dans un hôpital (avec sauvegarde et sans exfiltration) ; Avec exfiltration et sans sauvegarde. | Exfiltration de données de candidature à des offres d’emploi ; Exfiltration de mots de passe hachés ; Bourrage d’identifiants sur un site bancaire (credential stuffing). | Exfiltration de données d’entreprise par un employé ; Transmission accidentelle à un tiers. | Matériel volé contenant des données personnelles chiffrées ; Matériel volé stockant des données personnelles non chiffrées ; Documents papier volés contenant des données sensibles. | Erreur d’envoi postal de factures d’achat en ligne ; Données personnelles hautement confidentielles envoyées par courriel par erreur ; Données personnelles envoyées par courriel par erreur ; Erreur d’envoi postal de documents d’assurance. | Vol d’identité; Exfiltration de courriels. |\r\n\r\n## Quelles sont les obligations légales concernant les violations de données ?\r\n \r\nOutre les **obligations légales imposées par le RGPD**, les **grands principes** établis sont tout aussi importants.\r\n \r\n### La documentation\r\n \r\nL'article 33.5 du RGPD impose à chaque organisme de tenir une **documentation des violations de données**.\r\n \r\nCette obligation suppose de documenter en interne l’incident en déterminant :\r\n\r\n- la nature de la violation\r\n- si possible, les catégories et le nombre approximatif de personnes concernées par la violation\r\n- les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;\r\n- décrire les conséquences probables de la violation de données ;\r\n- décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.\r\n\r\n### Principe général sécurité\r\n\r\n \r\nC'est à l'article **5.1 du RGPD** que sont établis les **grands principes** de cette règlementation.\r\n \r\nLe f) de cet article pose le **principe général de sécurité**.\r\n \r\nIl émane de ce principe l'obligation de :\r\n\r\n- **prévenir toute violation de données**\r\n- **réagir de manière appropriée en cas de violation**, c'est-à-dire **mettre fin à la violation et minimiser ses effets**.\r\n\r\n## Qui est concerné par ces obligations ?\r\n \r\nTous les organismes, publics comme privés et quelle que soit leur taille dès lors qu’ils traitent des données personnelles et qu’ils ont connaissance d’une **violation de données personnelles**.\r\n \r\n**Les sous-traitants,** qui traitent des données personnelles pour le compte d’un organisme responsable du traitement, ont également des **obligations en matière de violation**. Ils doivent en particulier **alerter l’organisme de tout incident de sécurité dans les meilleurs délais** afin qu’ils puissent remplir ses obligations.\r\n\r\n## Existe-t-il des dérogations à l'obligation d'informer les personnes concernées ?\r\n\r\nOui, il existe des exceptions à cette obligation en cas de violation présentant un risque élevé. Ces exceptions incluent les situations suivantes :\r\n\r\n1. Les données personnelles concernées sont protégées par des mesures techniques et organisationnelles appropriées, rendant les données incompréhensibles pour toute personne non autorisée à y accéder.\r\n   - Exemple : Les données sont chiffrées selon les normes de pointe, avec une clé non compromise et générée de manière à être inaccessible par des moyens technologiques existants pour toute personne non autorisée.\r\n\r\n2. Le responsable du traitement a mis en place des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes ne peut plus se concrétiser.\r\n   - Exemple : Des mots de passe d’employés ayant accès à une base de données sensibles ont été subtilisés mais n'ont pas été utilisés et ont été réinitialisés rapidement.\r\n\r\n3. La communication de la violation aux personnes concernées nécessiterait des efforts disproportionnés.\r\n   - Exemple : Le responsable du traitement ne possède aucun moyen de contacter les personnes concernées.\r\n\r\nDans ce dernier cas, une communication publique ou une mesure similaire doit être mise en œuvre pour informer les personnes concernées de manière efficace.\r\n \r\n## Quelles sanctions en cas de violation ?\r\n \r\nDifférentes sanctions sont possibles sur divers fondements :\r\n\r\n- **L'article 83-4 a) du RGPD** : la violation des dispositions de l’article 32 peut faire l’objet d’amendes administratives pouvant s’élever à **10 M € ou 2% du CA mondial consolidé (n-1)** ;\r\n- *Poursuites pénales ?* Aujourd'hui, l’**article 226-17 du code pénal sanctionne le non respect des dispositions de l’article 34 de la loi informatique et libertés**.\r\n- **Indemnisation du préjudice devant les juridictions civiles** (art. 82)\r\n- **Action de groupe** (art. 80)\r\n\r\n## Un point sur le système de notification et communication :\r\n \r\nLorsque l’incident constitue un **risque au regard de la vie privée des personnes concernées**, le responsable de traitement doit **notifier** l’incident à la **CNIL**.\r\n \r\nEn termes de délais, il est prévu que la notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.\r\n \r\nIl est prévu :\r\n\r\n1. Une notification initiale dans un délai de **72 heures** si possible **à la suite de la constatation de la violation** ;\r\n2. Si le **délai de 72 heures est dépassé**, vous devrez expliquer, lors de votre notification, les **motifs du retard** ;\r\n3. Enfin, une **notification complémentaire** dès lors que les informations complémentaires sont disponibles.\r\n\r\n**En cas de risque élevé**, le responsable de traitement devra également **notifier les personnes concernées.**\r\n \r\nEn cas de doute, notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.\r\n \r\nEn ce qui concerne **le sous-traitant** traitant des données personnelles pour le compte du responsable de traitement, celui-ci devra notifier au responsable de traitement toute violation de données **dans les meilleurs délais après en avoir pris connaissance**.\r\n \r\nLes obligations issues de ce système de notification et communication sont **régulièrement sanctionnées**. Ce qui fait peser d'autant plus de responsabilité sur le responsable de traitement ou sous-traitant.\r\n \r\nPar exemple récemment :\r\n\r\n> Le 28 décembre 2021, la formation restreinte de la CNIL a sanctionné la **société SLIMPAY** d’une amende de **180 000 euros** notamment pour avoir insuffisamment protégé les données personnelles des utilisateurs et **ne pas les avoir informés d’une violation de données**.\r\n> \r\n> \r\n> En effet, l'autorité de contrôle a considéré que le risque associé à la violation est élevé :\r\n> \r\n> - compte tenu de la nature des données personnelles : notamment des informations bancaires\r\n> - du volume de personnes concernées : plus de 12 millions\r\n> - de la possibilité d'identification des personnes concernées par la violation\r\n> - des conséquences possibles pour les personnes concernées : risque d'usurpation d'identité ou d'hameçonnage\r\n> \r\n> \r\n> \r\n> Ainsi, la société SIMPLAY aurait dû informer les personnes concernées.\r\n\r\nCertaines **exceptions** sont prévues à **l'obligation d'information des personnes** en cas de violation entraînant un risque élevé :\r\n\r\n| Exceptions à l'obligation d'information en cas de violation entraînant un risque élevé | Exemple |\r\n| --- | --- |\r\n| Les données à caractère personnel affectées par la violation en cause sont protégées par des mesures de protection techniques et organisationnelles appropriées et sont ainsi incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès | Les données ont fait l’objet d’une mesure de chiffrement à l’état de l’art, dont la clé n’a pas été compromise et a été générée de façon à ne pas pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser |\r\n| Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes n'est plus susceptible de se matérialiser | Des mots de passe d’employés ayant accès à une base de données sensibles ont été subtilisés, mais n’ont pas été utilisés et ont été réinitialisés |\r\n| La communication de la violation aux personnes concernées exigerait des efforts disproportionnés | Le responsable du traitement ne dispose d’aucun élément permettant de contacter les personnes concernées |\r\n\r\nNéanmoins, il est prévu, dans les cas susmentionnés, une **communication publique, ou une mesure similaire** permettant aux **personnes concernées d'être informées de manière aussi efficace**.\r\n \r\n## Tableau récapitulatif des obligations de chacune des parties\r\n \r\nVoici un **tableau récapitulatif** des obligations de chacune des parties en cas de violation de données :\r\n\r\n| Qui est concerné ? | Les obligations |\r\n| --- | --- |\r\n| Le responsable de traitement | Notifie à l'autorité de contrôle la violation dans les meilleurs délais, et si possible dans les 72h de la connaissance de la violation ; Cette notification intervient uniquement si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ; Documente toutes les violations de données |\r\n| Le sous-traitant | Notifie au responsable de traitement toute violation de données dans les meilleurs délais après en avoir pris connaissance |\r\n| L'autorité de contrôle | Reçoit la notification ; Vérifie la documentation de la violation par le responsable de traitement ; Vérifie si les conditions de communication sont remplies ou non ; Peut ordonner au responsable de traitement de communiquer à la personne concernée la violation de données |\r\n| La personne concernée dont les données ont été violées | Reçoit communication de la violation en cas de risque élevée pour les droits et libertés |\r\n\r\n## Pourquoi s'équiper d'un outil ?\r\n \r\nAvec un outil vous répondez à l'**obligation légale de documentation** et **respectez le principe général de sécurité** notamment en adoptant une **gestion par les risques**.\r\n \r\nUn outil vous permettra d'être **guidé**, bénéficier d'un **historique**, **analyser les rapports d'incidents** et mettre en œuvre des **mesures préventives** ainsi que de **gérer les risques**.\r\n \r\nVous pourrez visualiser la **réalité des mesures techniques et organisationnelles mises en place** et les adapter.\r\n \r\n![image](https://static.dastra.eu/richtextbackoffice/68b2d7ac-5c33-4fa9-b3f1-a62307731703/capture-dcran-2022-04-19-101205.png)\r\n\r\n\r\n\r\n{% button href=\"https://www.dastra.eu/fr/product-features\" text=\"Découvrir Dastra\" role=\"button\" class=\"btn btn-primary\" target=\"_blank\" %}\r\n\r\n","\u003Ch2 id=\"article-4.12-violation-des-donnees-rgpd\">Article 4.12 : violation des données RGPD\u003C/h2>\n\u003Cp>\u003Cstrong>L'article 4.12 du RGPD\u003C/strong> définit la violation de données comme étant :\u003C/p>\n\u003Cblockquote>\n\u003Cp>\"\u003Cem>une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données\u003C/em>.\"\u003C/p>\n\u003C/blockquote>\n\u003Cp>Autrement dit, il s'agit d'un incident de sécurité se produisant de manière \u003Cstrong>intentionnelle ou accidentelle\u003C/strong> et compromettant l'\u003Cstrong>intégrité\u003C/strong>, la \u003Cstrong>confidentialité\u003C/strong> ou la \u003Cstrong>disponibilité\u003C/strong> des données personnelles.\u003C/p>\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/6c6200b0-ace2-4d30-a720-1871c93f00b9/capture-dcran-2022-04-15-094005.png\" alt=\"image\" />\u003C/p>\n\u003Cp>Effectivement, l'incident de sécurité peut compromettre la confidentialité, intégrité ou encore disponibilité, cela signifie que :\u003C/p>\n\u003Col>\n\u003Cli>la « violation de la \u003Cstrong>confidentialité\u003C/strong> » : la divulgation ou l’accès non autorisé(e) ou accidentel(elle) à des données à caractère personnel ;\u003C/li>\n\u003Cli>la « violation de l’\u003Cstrong>intégrité\u003C/strong> » : l’altération non autorisée ou accidentelle de données à caractère personnel ;\u003C/li>\n\u003Cli>la « violation de la \u003Cstrong>disponibilité\u003C/strong> » : la destruction ou la perte accidentelle ou non autorisée de données à caractère personnel.\u003C/li>\n\u003C/ol>\n\u003Cp>Ainsi, une \u003Cstrong>violation de données\u003C/strong> peut se \u003Cstrong>matérialiser\u003C/strong> comme :\u003C/p>\n\u003Col>\n\u003Cli>la réception d'un mail nous n'étant pas destiné et comprenant des données personnelles\u003C/li>\n\u003Cli>introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves\u003C/li>\n\u003Cli>la perte d'une clef usb non sécurisée contenant une copie de la base clients d’une société\u003C/li>\n\u003C/ol>\n\u003Cp>\u003Cstrong>Définition simplifiée d'une violation de données :\u003C/strong>\u003C/p>\n\u003Cp>Une violation de données personnelles est un incident compromettant la sécurité des informations personnelles, susceptible de nuire aux droits et libertés des individus concernés.\u003C/p>\n\u003Ch2 id=\"les-principaux-types-de-violations-de-donnees-peuvent-etre-regroupes-par-categories\">Les principaux types de violations de données peuvent être regroupés par catégories :\u003C/h2>\n\u003Ctable>\n\u003Cthead>\n\u003Ctr>\n\u003Cth>Rançongiciel\u003C/th>\n\u003Cth>Attaque exfiltration de données\u003C/th>\n\u003Cth>Source interne risque humain\u003C/th>\n\u003Cth>Appareils ou documents papier perdus ou volés\u003C/th>\n\u003Cth>Erreur d'envoi\u003C/th>\n\u003Cth>Ingénierie sociale\u003C/th>\n\u003C/tr>\n\u003C/thead>\n\u003Ctbody>\n\u003Ctr>\n\u003Ctd>Sans exfiltration de données et avec sauvegarde ; Sans sauvegarde ; Dans un hôpital (avec sauvegarde et sans exfiltration) ; Avec exfiltration et sans sauvegarde.\u003C/td>\n\u003Ctd>Exfiltration de données de candidature à des offres d’emploi ; Exfiltration de mots de passe hachés ; Bourrage d’identifiants sur un site bancaire (credential stuffing).\u003C/td>\n\u003Ctd>Exfiltration de données d’entreprise par un employé ; Transmission accidentelle à un tiers.\u003C/td>\n\u003Ctd>Matériel volé contenant des données personnelles chiffrées ; Matériel volé stockant des données personnelles non chiffrées ; Documents papier volés contenant des données sensibles.\u003C/td>\n\u003Ctd>Erreur d’envoi postal de factures d’achat en ligne ; Données personnelles hautement confidentielles envoyées par courriel par erreur ; Données personnelles envoyées par courriel par erreur ; Erreur d’envoi postal de documents d’assurance.\u003C/td>\n\u003Ctd>Vol d’identité; Exfiltration de courriels.\u003C/td>\n\u003C/tr>\n\u003C/tbody>\n\u003C/table>\n\u003Ch2 id=\"quelles-sont-les-obligations-legales-concernant-les-violations-de-donnees\">Quelles sont les obligations légales concernant les violations de données ?\u003C/h2>\n\u003Cp>Outre les \u003Cstrong>obligations légales imposées par le RGPD\u003C/strong>, les \u003Cstrong>grands principes\u003C/strong> établis sont tout aussi importants.\u003C/p>\n\u003Ch3 id=\"la-documentation\">La documentation\u003C/h3>\n\u003Cp>L'article 33.5 du RGPD impose à chaque organisme de tenir une \u003Cstrong>documentation des violations de données\u003C/strong>.\u003C/p>\n\u003Cp>Cette obligation suppose de documenter en interne l’incident en déterminant :\u003C/p>\n\u003Cul>\n\u003Cli>la nature de la violation\u003C/li>\n\u003Cli>si possible, les catégories et le nombre approximatif de personnes concernées par la violation\u003C/li>\n\u003Cli>les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;\u003C/li>\n\u003Cli>décrire les conséquences probables de la violation de données ;\u003C/li>\n\u003Cli>décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.\u003C/li>\n\u003C/ul>\n\u003Ch3 id=\"principe-general-securite\">Principe général sécurité\u003C/h3>\n\u003Cp>C'est à l'article \u003Cstrong>5.1 du RGPD\u003C/strong> que sont établis les \u003Cstrong>grands principes\u003C/strong> de cette règlementation.\u003C/p>\n\u003Cp>Le f) de cet article pose le \u003Cstrong>principe général de sécurité\u003C/strong>.\u003C/p>\n\u003Cp>Il émane de ce principe l'obligation de :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>prévenir toute violation de données\u003C/strong>\u003C/li>\n\u003Cli>\u003Cstrong>réagir de manière appropriée en cas de violation\u003C/strong>, c'est-à-dire \u003Cstrong>mettre fin à la violation et minimiser ses effets\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003Ch2 id=\"qui-est-concerne-par-ces-obligations\">Qui est concerné par ces obligations ?\u003C/h2>\n\u003Cp>Tous les organismes, publics comme privés et quelle que soit leur taille dès lors qu’ils traitent des données personnelles et qu’ils ont connaissance d’une \u003Cstrong>violation de données personnelles\u003C/strong>.\u003C/p>\n\u003Cp>\u003Cstrong>Les sous-traitants,\u003C/strong> qui traitent des données personnelles pour le compte d’un organisme responsable du traitement, ont également des \u003Cstrong>obligations en matière de violation\u003C/strong>. Ils doivent en particulier \u003Cstrong>alerter l’organisme de tout incident de sécurité dans les meilleurs délais\u003C/strong> afin qu’ils puissent remplir ses obligations.\u003C/p>\n\u003Ch2 id=\"existe-t-il-des-derogations-a-lobligation-dinformer-les-personnes-concernees\">Existe-t-il des dérogations à l'obligation d'informer les personnes concernées ?\u003C/h2>\n\u003Cp>Oui, il existe des exceptions à cette obligation en cas de violation présentant un risque élevé. Ces exceptions incluent les situations suivantes :\u003C/p>\n\u003Col>\n\u003Cli>\u003Cp>Les données personnelles concernées sont protégées par des mesures techniques et organisationnelles appropriées, rendant les données incompréhensibles pour toute personne non autorisée à y accéder.\u003C/p>\n\u003Cul>\n\u003Cli>Exemple : Les données sont chiffrées selon les normes de pointe, avec une clé non compromise et générée de manière à être inaccessible par des moyens technologiques existants pour toute personne non autorisée.\u003C/li>\n\u003C/ul>\n\u003C/li>\n\u003Cli>\u003Cp>Le responsable du traitement a mis en place des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes ne peut plus se concrétiser.\u003C/p>\n\u003Cul>\n\u003Cli>Exemple : Des mots de passe d’employés ayant accès à une base de données sensibles ont été subtilisés mais n'ont pas été utilisés et ont été réinitialisés rapidement.\u003C/li>\n\u003C/ul>\n\u003C/li>\n\u003Cli>\u003Cp>La communication de la violation aux personnes concernées nécessiterait des efforts disproportionnés.\u003C/p>\n\u003Cul>\n\u003Cli>Exemple : Le responsable du traitement ne possède aucun moyen de contacter les personnes concernées.\u003C/li>\n\u003C/ul>\n\u003C/li>\n\u003C/ol>\n\u003Cp>Dans ce dernier cas, une communication publique ou une mesure similaire doit être mise en œuvre pour informer les personnes concernées de manière efficace.\u003C/p>\n\u003Ch2 id=\"quelles-sanctions-en-cas-de-violation\">Quelles sanctions en cas de violation ?\u003C/h2>\n\u003Cp>Différentes sanctions sont possibles sur divers fondements :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>L'article 83-4 a) du RGPD\u003C/strong> : la violation des dispositions de l’article 32 peut faire l’objet d’amendes administratives pouvant s’élever à \u003Cstrong>10 M € ou 2% du CA mondial consolidé (n-1)\u003C/strong> ;\u003C/li>\n\u003Cli>\u003Cem>Poursuites pénales ?\u003C/em> Aujourd'hui, l’\u003Cstrong>article 226-17 du code pénal sanctionne le non respect des dispositions de l’article 34 de la loi informatique et libertés\u003C/strong>.\u003C/li>\n\u003Cli>\u003Cstrong>Indemnisation du préjudice devant les juridictions civiles\u003C/strong> (art. 82)\u003C/li>\n\u003Cli>\u003Cstrong>Action de groupe\u003C/strong> (art. 80)\u003C/li>\n\u003C/ul>\n\u003Ch2 id=\"un-point-sur-le-systeme-de-notification-et-communication\">Un point sur le système de notification et communication :\u003C/h2>\n\u003Cp>Lorsque l’incident constitue un \u003Cstrong>risque au regard de la vie privée des personnes concernées\u003C/strong>, le responsable de traitement doit \u003Cstrong>notifier\u003C/strong> l’incident à la \u003Cstrong>CNIL\u003C/strong>.\u003C/p>\n\u003Cp>En termes de délais, il est prévu que la notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.\u003C/p>\n\u003Cp>Il est prévu :\u003C/p>\n\u003Col>\n\u003Cli>Une notification initiale dans un délai de \u003Cstrong>72 heures\u003C/strong> si possible \u003Cstrong>à la suite de la constatation de la violation\u003C/strong> ;\u003C/li>\n\u003Cli>Si le \u003Cstrong>délai de 72 heures est dépassé\u003C/strong>, vous devrez expliquer, lors de votre notification, les \u003Cstrong>motifs du retard\u003C/strong> ;\u003C/li>\n\u003Cli>Enfin, une \u003Cstrong>notification complémentaire\u003C/strong> dès lors que les informations complémentaires sont disponibles.\u003C/li>\n\u003C/ol>\n\u003Cp>\u003Cstrong>En cas de risque élevé\u003C/strong>, le responsable de traitement devra également \u003Cstrong>notifier les personnes concernées.\u003C/strong>\u003C/p>\n\u003Cp>En cas de doute, notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.\u003C/p>\n\u003Cp>En ce qui concerne \u003Cstrong>le sous-traitant\u003C/strong> traitant des données personnelles pour le compte du responsable de traitement, celui-ci devra notifier au responsable de traitement toute violation de données \u003Cstrong>dans les meilleurs délais après en avoir pris connaissance\u003C/strong>.\u003C/p>\n\u003Cp>Les obligations issues de ce système de notification et communication sont \u003Cstrong>régulièrement sanctionnées\u003C/strong>. Ce qui fait peser d'autant plus de responsabilité sur le responsable de traitement ou sous-traitant.\u003C/p>\n\u003Cp>Par exemple récemment :\u003C/p>\n\u003Cblockquote>\n\u003Cp>Le 28 décembre 2021, la formation restreinte de la CNIL a sanctionné la \u003Cstrong>société SLIMPAY\u003C/strong> d’une amende de \u003Cstrong>180 000 euros\u003C/strong> notamment pour avoir insuffisamment protégé les données personnelles des utilisateurs et \u003Cstrong>ne pas les avoir informés d’une violation de données\u003C/strong>.\u003C/p>\n\u003Cp>En effet, l'autorité de contrôle a considéré que le risque associé à la violation est élevé :\u003C/p>\n\u003Cul>\n\u003Cli>compte tenu de la nature des données personnelles : notamment des informations bancaires\u003C/li>\n\u003Cli>du volume de personnes concernées : plus de 12 millions\u003C/li>\n\u003Cli>de la possibilité d'identification des personnes concernées par la violation\u003C/li>\n\u003Cli>des conséquences possibles pour les personnes concernées : risque d'usurpation d'identité ou d'hameçonnage\u003C/li>\n\u003C/ul>\n\u003Cp>Ainsi, la société SIMPLAY aurait dû informer les personnes concernées.\u003C/p>\n\u003C/blockquote>\n\u003Cp>Certaines \u003Cstrong>exceptions\u003C/strong> sont prévues à \u003Cstrong>l'obligation d'information des personnes\u003C/strong> en cas de violation entraînant un risque élevé :\u003C/p>\n\u003Ctable>\n\u003Cthead>\n\u003Ctr>\n\u003Cth>Exceptions à l'obligation d'information en cas de violation entraînant un risque élevé\u003C/th>\n\u003Cth>Exemple\u003C/th>\n\u003C/tr>\n\u003C/thead>\n\u003Ctbody>\n\u003Ctr>\n\u003Ctd>Les données à caractère personnel affectées par la violation en cause sont protégées par des mesures de protection techniques et organisationnelles appropriées et sont ainsi incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès\u003C/td>\n\u003Ctd>Les données ont fait l’objet d’une mesure de chiffrement à l’état de l’art, dont la clé n’a pas été compromise et a été générée de façon à ne pas pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes n'est plus susceptible de se matérialiser\u003C/td>\n\u003Ctd>Des mots de passe d’employés ayant accès à une base de données sensibles ont été subtilisés, mais n’ont pas été utilisés et ont été réinitialisés\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>La communication de la violation aux personnes concernées exigerait des efforts disproportionnés\u003C/td>\n\u003Ctd>Le responsable du traitement ne dispose d’aucun élément permettant de contacter les personnes concernées\u003C/td>\n\u003C/tr>\n\u003C/tbody>\n\u003C/table>\n\u003Cp>Néanmoins, il est prévu, dans les cas susmentionnés, une \u003Cstrong>communication publique, ou une mesure similaire\u003C/strong> permettant aux \u003Cstrong>personnes concernées d'être informées de manière aussi efficace\u003C/strong>.\u003C/p>\n\u003Ch2 id=\"tableau-recapitulatif-des-obligations-de-chacune-des-parties\">Tableau récapitulatif des obligations de chacune des parties\u003C/h2>\n\u003Cp>Voici un \u003Cstrong>tableau récapitulatif\u003C/strong> des obligations de chacune des parties en cas de violation de données :\u003C/p>\n\u003Ctable>\n\u003Cthead>\n\u003Ctr>\n\u003Cth>Qui est concerné ?\u003C/th>\n\u003Cth>Les obligations\u003C/th>\n\u003C/tr>\n\u003C/thead>\n\u003Ctbody>\n\u003Ctr>\n\u003Ctd>Le responsable de traitement\u003C/td>\n\u003Ctd>Notifie à l'autorité de contrôle la violation dans les meilleurs délais, et si possible dans les 72h de la connaissance de la violation ; Cette notification intervient uniquement si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ; Documente toutes les violations de données\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Le sous-traitant\u003C/td>\n\u003Ctd>Notifie au responsable de traitement toute violation de données dans les meilleurs délais après en avoir pris connaissance\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>L'autorité de contrôle\u003C/td>\n\u003Ctd>Reçoit la notification ; Vérifie la documentation de la violation par le responsable de traitement ; Vérifie si les conditions de communication sont remplies ou non ; Peut ordonner au responsable de traitement de communiquer à la personne concernée la violation de données\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>La personne concernée dont les données ont été violées\u003C/td>\n\u003Ctd>Reçoit communication de la violation en cas de risque élevée pour les droits et libertés\u003C/td>\n\u003C/tr>\n\u003C/tbody>\n\u003C/table>\n\u003Ch2 id=\"pourquoi-sequiper-dun-outil\">Pourquoi s'équiper d'un outil ?\u003C/h2>\n\u003Cp>Avec un outil vous répondez à l'\u003Cstrong>obligation légale de documentation\u003C/strong> et \u003Cstrong>respectez le principe général de sécurité\u003C/strong> notamment en adoptant une \u003Cstrong>gestion par les risques\u003C/strong>.\u003C/p>\n\u003Cp>Un outil vous permettra d'être \u003Cstrong>guidé\u003C/strong>, bénéficier d'un \u003Cstrong>historique\u003C/strong>, \u003Cstrong>analyser les rapports d'incidents\u003C/strong> et mettre en œuvre des \u003Cstrong>mesures préventives\u003C/strong> ainsi que de \u003Cstrong>gérer les risques\u003C/strong>.\u003C/p>\n\u003Cp>Vous pourrez visualiser la \u003Cstrong>réalité des mesures techniques et organisationnelles mises en place\u003C/strong> et les adapter.\u003C/p>\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/68b2d7ac-5c33-4fa9-b3f1-a62307731703/capture-dcran-2022-04-19-101205.png\" alt=\"image\" />\u003C/p>\n\u003Cdiv class=\"content-btn-container\">\u003Ca href=\"https://www.dastra.eu/fr/product-features\" role=\"button\" class=\"btn btn-primary\" target=\"_blank\">Découvrir Dastra\u003C/a>\u003C/div>\n","Qu'est-ce qu'une violation de données ?","Découvrez notre guide sur la gestion des violations de données : comment les prévenir, les détecter, y répondre efficacement et se conformer aux règlementations",1870,10,"Tout savoir sur la gestion des violations de données !",0,null,"fr","quest-ce-quune-violation-de-donnees","Qu'est-ce qu'une violation de données ? Quelles obligations pour les responsables de traitement et sous-traitants ? Quelle procédure pour gérer une violation de données ? Globalement, une violation de données c'est quoi ?","Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":13,"blogUrl":13,"color":13,"userId":19,"creationDate":22},654,"Estelle Penin","https://static.dastra.eu/tenant-3/avatar/654/microsoftteams-image-3-modifie-150.png","2022-06-20T10:17:59","2024-04-21T14:05:00","2022-04-21T21:15:13.0508252","2026-04-20T12:22:53.3892491",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":32},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[33,35,38],{"lang":14,"name":28,"description":34},"Une liste d'articles rédigés par la communauté",{"lang":36,"name":28,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":39,"name":28,"description":40},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[42,47],{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":43},[44,45,46],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},{"id":48,"name":49,"description":50,"url":51,"color":52,"parentId":27,"count":13,"imageUrl":13,"parent":53,"order":58,"translations":59},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":54},[55,56,57],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},5,[60,62,65],{"lang":14,"name":49,"description":61},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":39,"name":63,"description":64},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":36,"name":66,"description":67},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/31b544ac-cc0b-40f8-b152-ca8d7a1a9687/violations-1000.png",[71,72,73,74,75,76,77],"https://static.dastra.eu/content/31b544ac-cc0b-40f8-b152-ca8d7a1a9687/violations-1000.webp","https://static.dastra.eu/content/31b544ac-cc0b-40f8-b152-ca8d7a1a9687/violations.webp","https://static.dastra.eu/content/31b544ac-cc0b-40f8-b152-ca8d7a1a9687/violations-1500.webp","https://static.dastra.eu/content/31b544ac-cc0b-40f8-b152-ca8d7a1a9687/violations-800.webp","https://static.dastra.eu/content/31b544ac-cc0b-40f8-b152-ca8d7a1a9687/violations-600.webp","https://static.dastra.eu/content/31b544ac-cc0b-40f8-b152-ca8d7a1a9687/violations-300.webp","https://static.dastra.eu/content/31b544ac-cc0b-40f8-b152-ca8d7a1a9687/violations-100.webp",52006]