Violation de données personnelles d’une TPE-PME : comment bien réagir et qui contacter ?

Qu’est-ce qu’une violation de données personnelles, et comment bien réagir si vous en êtes victime ? On fait le point pour vous !

Alexandra Patard
Publié le
violation-donnees-personnelles-demarches-cnil
Que faire si les données à caractère personnelle traitées par votre entreprise ont été perdues, volées ou sont compromises ? © CNIL
Sommaire

Alors que près de 18 milliards de comptes ont été piratés dans le monde depuis 2004, selon une récente étude menée par Surfshark, la France a enregistré plus de 528 millions de violations de données (mots de passe, noms d’utilisateur, dates de naissance…), ce qui représente 3 % des fuites de données à l’échelle du globe. Toujours d’après cette étude, l’Hexagone est le 3e pays du monde le plus exposé aux risques cyber, derrière les États-Unis et la Russie. S’il est devenu indispensable pour les TPE et les PME de mettre en place les actions nécessaires en vue de s’en prémunir, quelle attitude adopter lorsque votre organisation est victime d’une violation de données personnelles ?

Qu’appelle-t-on une « violation de données personnelles » précisément ?

D’après le « Guide de la protection des données pour les petites entreprises » publié par le Comité européen de la protection des données (CEPD), une violation de données personnelles correspond à « une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données à caractère personnel ». Ce sont des incidents de sécurité qui sont susceptibles d’affecter « la confidentialité, l’intégrité ou la disponibilité des données personnelles ».

Ces faits majeurs, qui peuvent avoir de graves conséquences pour une petite ou moyenne entreprise (perte financière, baisse de la confiance des clients…), sont susceptibles d’être causées par un accident (envoi d’email à un mauvais destinataire, perte d’une clé USB comportant des données clients…) ou par un acte malveillant délibéré, comme des attaques de phishing par exemple.

Cela inclut les situations où quelqu’un accède à des données personnelles ou les transmet sans autorisation appropriée, ou lorsque les données personnelles sont rendues indisponibles à cause d’un cryptage effectué par un ransomware, ou encore des cas de perte ou destruction accidentelle.

Les 3 principes essentiels à suivre en cas de violation de données

Dans son guide, le CEPD présente les 3 principes indispensables à suivre si vous constatez que des données personnelles relatives à votre organisation ont été perdues, volées ou compromises :

  1. Documenter toute violation de données à caractère personnel, en renseignant la nature de la violation, le nombre de personnes touchées, le volume (approximatif) de données concernées, les conséquences probables et les mesures prises (ou que vous envisagez de prendre) en réponse,
  2. Notifier la violation de données auprès de l’autorité compétente dans les 72 heures, dans le cas où elle entraînerait un risque pour les droits et libertés des personnes physiques impactées,
  3. Prévenir les personnes touchées dès que possible, si le risque est élevé.

Il est de la plus haute importance que les responsables du traitement comprennent et respectent ces obligations, et mettent en place à l’avance les procédures appropriées qui leur permettront de déterminer objectivement en temps utile si l’une des notifications mentionnées ci-dessus est requise, précise le CEPD.

À lire également

Comment notifier une violation de données aux autorités compétentes ?

Votre organisation « agit en tant que responsable du traitement des données », et elle a été victime d’une violation de données personnelles « susceptible d’entraîner un risque pour les droits et libertés des personnes » ? Comme stipulé précédemment, vous devez en informer l’autorité de protection des données compétente (ou APD) dans un délai de 72 heures, conformément à l’article 33.1 du RGPD.

Afin de pouvoir démontrer à l’APD concernée quand et comment elle a eu connaissance d’une violation de données à caractère personnel, il est recommandé que toute organisation, dans le cadre de ses procédures internes relatives aux violations de données à caractère personnel, dispose d’un système permettant d’enregistrer comment et quand elle prend connaissance des violations de données à caractère personnel et comment elle évalue le risque potentiel que représente la violation.

En France, cette « APD » correspond à la Commission nationale de l’informatique et des libertés, plus communément nommée CNIL. Un formulaire, avec des explications étape par étape, est disponible (voir lien ci-dessous) afin de faciliter la déclaration de votre incident. Bon à savoir : un justificatif vous sera demandé en cas de retard, si vous n’avez pas pu effectuer votre déclaration dans le délai imparti. Sachez également que vous avez la possibilité de démarrer une procédure de notification à la CNIL, que vous pourrez compléter par la suite.

Accéder au formulaire pour notifier la CNIL

De même, conformément à l’article 33.2 du RGPD, si votre PME est un sous-traitant qui traite des données à caractère personnel pour le compte d’une autre organisation, vous devez informer le responsable du traitement de toute violation de données à caractère personnel dans les meilleurs délais. Cela est d’une importance capitale pour permettre au responsable du traitement de se conformer à ses obligations de notification en temps utile, ajoute le CEPD.

Comment communiquer sur cette violation auprès des personnes concernées ?

Dans le cas où la violation de données personnelles, dont votre organisation est victime, est susceptible d’entraîner un risque dit « élevé » pour les droits et les libertés des personnes physiques touchées, vous devez alors en informer ces personnes et, le cas échéant, leur fournir des informations sur les mesures qu’elles peuvent prendre pour se protéger des conséquences de cette violation de données.

L’objectif de cette exigence est de veiller à ce que les personnes touchées puissent prendre les précautions nécessaires lorsque des incidents sont susceptibles d’entraîner un risque élevé pour elles, souligne le CEPD.

Le comité européen recommande de communiquer de manière claire et simple sur la nature de la violation de données à caractère personnel. Parmi les informations à transmettre aux personnes concernées, il convient d’indiquer :

  • le nom ainsi que les coordonnées du délégué à la protection des données à contacter afin d’obtenir plus d’informations,
  • « la description des conséquences probables de la violation de données à caractère personnel »,
  • « les mesures prises ou proposées par l’organisation pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs ».

Autre conseil : vous pouvez également proposer des recommandations complémentaires « afin d’atténuer les effets négatifs potentiels de la violation ».

Les responsables du traitement des données et les sous-traitants sont encouragés à planifier à l’avance et à mettre en place des processus permettant de détecter et de contenir rapidement une violation, d’évaluer le risque pour les personnes, puis de déterminer s’il est nécessaire d’informer l’autorité compétente de protection des données et de communiquer la violation aux personnes concernées si nécessaire, résume le comité européen.

Les ressources en ligne pour bien réagir en cas de violation de données

Pour en savoir plus, n’hésitez pas à consulter le guide publié par le Comité européen de la protection des données à l’attention des petites et moyennes entreprises (lien ci-dessous). Il vous apportera de précieux conseils autour de la gestion des données à caractère personnel, mieux comprendre les principes du Règlement général sur la protection des données, et comment se mettre en conformité avec celui-ci.

Consulter le guide du CEPD

Retrouvez ci-dessous l’infographie du Comité européen qui récapitule l’ensemble des cas de figure que vous pourriez rencontrer, et la marche à suivre pour bien réagir en cas de violation de données à caractère personnel.

infographie-violation-donnees-personnelles-cepd
Suivez le guide ! © CEPD
Semaine de la cybersécurité 2024
Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

Visuel enquête Visuel enquête

Community managers : découvrez les résultats de notre enquête 2025

Réseaux, missions, salaire... Un webinar pour tout savoir sur les CM, lundi 29 septembre à 11h !

Je m'inscris

Les meilleurs outils pour les professionnels du web

Protect by Mailinblack

Anti-spam
Une solution pour protéger votre messagerie des cyberattaques

Norton Small Business

Antivirus
Un antivirus pour les petites entreprises

Surfshark VPN

VPN
Une solution VPN complète et sécurisée
BDM / Articles / Web / Violation de données personnelles d’une TPE-PME : comment bien réagir et qui contacter ?

Sur le même thème

Cybersécurité

Cybersécurité : 5 chiffres clés qui démontrent l’impact majeur d’une faille
Cybersécurité

Attaque DDoS contre votre entreprise : comment réagir ?
Cybersécurité

Violations de données : la France est le 2e pays le plus ciblé, derrière les États-Unis
Cybersécurité

5 questions pour comprendre le Cyber Resilience Act
Données personnelles

Comment se protéger face aux fuites de données : les conseils de la CNIL
Interviews

Cyberattaques : comment les TPE, PME et ETI sont devenues des cibles privilégiées