Violation de données (Data breach) : définition, prévention et protection

Faisant l’objet d’une réglementation européenne depuis 2018 (RGPD), la violation de données personnelles est revenue sur le devant de la scène avec la multiplication des cas pendant la crise du coronavirus. On vous dit tout sur le data breach.

Qu’est-ce qu’un data breach ?

RGPD et violation de données personnelles : définitions

La violation de données (ou data breach en anglais) désigne la subtilisation, modification, divulgation et perte accidentelle ou illicite de données personnelles (personal data) à partir d’un incident de sécurité survenu chez un particulier, une entreprise ou une autre organisation (financière, administrative, gouvernementale, etc.). Elle se distingue de la fuite de données désignant une publication non désirée de données.

Les données violées sont ensuite utilisées par des gens malintentionnés (notamment des pirates informatiques) pour principalement :

Adopté en 2016, le Règlement général sur la protection des données (plus connu sous le nom de RGPD ou GDPR en anglais) vise à renforcer la sécurité des données à caractère personnel (ou DCP) et à unifier la loi entre les 27 États membres de l’UE, dont la France. Ces données désignent des données traitées : des fichiers clients ou fournisseurs chez des entreprises, des fichiers usagers chez des administrations, etc.

Quand informer l’autorité de contrôle d’un data breach ?

Entrée en vigueur le 25 mai 2018, cette réglementation européenne oblige chaque responsable, à la tête d’une entreprise ou de quelconque autre organisation, à signaler le plus vite possible la violation d’un fichier traité. 


Cette notification doit faire au moins l’objet d’un signalement interne, et peut être accompagnée d’autres signalements :

  • à l’autorité de contrôle désignée dans un délai maximal de 72 heures si la violation présente un risque (par exemple une fuite de l’adresse e-mail d’un client) ;
  • aux personnes titulaires des données si le risque est élevé (par exemple une fuite de ses coordonnées bancaires).

Violation de données : la CNIL doit-elle être informée ?

Désignée comme l’autorité de contrôle pour la France, la CNIL est chargée de veiller à la bonne application du RGPD dans le pays et doit donc être informée en cas de violation à risque.
La notification d’une violation de données personnelles à la CNIL se fait en remplissant ce formulaire en ligne (form dans le dictionnaire anglais) : notifications.cnil.fr/notifications/. 

Quelles mesures pour le responsable du traitement en cas de violation de données personnelles ?

La CNIL désigne le responsable d’un traitement de données à caractère personnel comme la personne, l’autorité publique, la société ou l’organisme décidant de la création d’un fichier de données personnelles, et en déterminant les finalités et les moyens. Il peut s’agir d’un président d’entreprise, d’un responsable d’association, d’un maire, etc.

Ces responsables ont l’obligation de se plier aux exigences de la RGPD en matière de sécurité et de conservation des données personnelles, sous peine de sanction. Si par exemple une violation de données n’est pas signalée dans le délai légal de 72 heures, la CNIL peut infliger une amende allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires d’une entreprise.

Comment protéger au mieux ses données personnelles en ligne ?

En tant qu’entreprise, vous devez donc remplir des obligations réglementaires (conversation limitée des fichiers, données traitées uniquement par nécessité, etc.), la CNIL opérant des contrôles (33 millions de data breach décelés sur une période de seulement 4 mois après l’entrée en vigueur du RGPD). Découvrir notre guide sur l’Audit de sécurité informatique.

En tant que particulier, vous pouvez anticiper une violation de vos données personnelles :

  • en vous renseignant sur le bon respect des RGPD des sites Web sur lesquels vous avez créé un compte (via un règlement publié ou en les contactant directement) ;
  • en vous renseignant sur le bon respect des RGPD auprès de l’entreprise vous employant (présence d’un délégué à la protection des données ? mesure mise en place ? Etc.) ;
  • en protégeant votre navigation sur Internet par l’utilisation d’un antivirus (exemple : Kaspersky antivirus).

Si vous pensez que vous avez été victime d’une violation de vos données personnelles, vous pouvez directement porter plainte auprès de la CNIL.

Découvrez Kaspersky Total Security