Violation de données RGPD : ce que c'est et ce qu'elle implique
Une violation de données, au sens du RGPD, est une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles ou l'accès non autorisé à celles-ci. Si elle présente un risque pour les personnes, elle doit être notifiée à l'autorité de contrôle compétente sous 72 heures à compter de sa découverte (art. 33) ; si le risque est élevé, les personnes concernées doivent aussi être informées (art. 34). C'est une obligation distincte de la notification NIS2 au CSIRT.
Ce qu’est une violation de données (et ce qu’elle n’est pas)
Dans le langage courant, une « violation de données » désigne toute attaque. Pour le RGPD, c’est quelque chose de précis : une violation de la sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles, ou l’accès non autorisé à celles-ci. Un cas de ransomware qui chiffre des données personnelles est une violation de données ; une attaque qui ne touche pas de données personnelles peut ne pas en être une.
Deux obligations à ne pas confondre
La notification à l’autorité de contrôle (RGPD) concerne les données personnelles ; la notification au CSIRT (NIS2) concerne la sécurité du service. Un cas de ransomware avec exfiltration de données personnelles déclenche typiquement les deux. Voir NIS2 expliquée.
Le facteur temps et les preuves
72 heures passent vite. Une notification ne vaut que par les preuves qui la fondent : déterminer quelles données ont réellement été exfiltrées exige une analyse technico-forensique, pas seulement une appréciation juridique. C’est le volet que Fortgale couvre : appui à la notification de violation.
Violation de données (autorité) vs incident NIS2 (CSIRT)
| Violation de données · autorité | Incident · CSIRT | |
|---|---|---|
| Texte | RGPD art. 33-34 | NIS2 · transposition nationale |
| Objet | Données personnelles | Sécurité du service |
| Délai | 72 heures | Alerte précoce 24h, notification 72h |
| À qui | Autorité de contrôle (+ personnes si risque élevé) | CSIRT national |
Lors de l'Operation Storming Tide, l'équipe Fortgale a reconstitué la chaîne et stoppé l'exfiltration : établir quelles données ont quitté le périmètre est la base factuelle d'une notification exacte à l'autorité de contrôle.
Lire l'analyse →Questions fréquentes.
Tout incident est-il une violation de données ?
Non. C'est une violation de données seulement s'il concerne des données personnelles avec un risque pour les personnes. Un incident peut être notifiable au titre de NIS2/CSIRT sans être une violation de données RGPD, et inversement. Souvent, cependant, les deux s'appliquent.
Sous quel délai faut-il notifier l'autorité ?
Sous 72 heures à compter de la découverte (art. 33). Si le risque pour les personnes est élevé, elles doivent aussi être informées sans retard injustifié (art. 34). Toute violation doit être consignée.
Qui fait quoi dans la notification ?
L'appréciation juridique et la notification elle-même reviennent au responsable de traitement et au DPO. Le volet technico-forensique (ce qui s'est passé, quelles données exfiltrées, les preuves) est fourni par l'équipe de sécurité. Voir appui à la notification de violation.
Quelles sanctions pour une violation mal gérée ?
Les manquements aux obligations peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Une notification exacte et rapide, étayée par des preuves techniques solides, est aussi une forme de protection.
De la théorie à une opération réelle.
Ce que vous lisez ici, Fortgale le met en œuvre chaque jour avec un SOC européen 24·7·365 : 287 outils et acteurs profilés, <30 min de confinement médian. Voir le service : Appui à la notification de violation.
Ressources liées : NIS2 expliquée · Appui à la notification de violation · Attaque ransomware : que faire
Une conversation technique, pas un funnel.
Laissez vos coordonnées : un analyste vous rappelle sous un jour ouvré. SOC européen, même fuseau horaire, intelligence propriétaire sur les acteurs actifs dans l'UE.