Notification de violation de donnees personnelles: guide pratique pour equipes SaaS

La notification de violation de donnees personnelles est le flux operationnel qui permet de decider si un incident de securite ou de donnees doit etre notifie a une autorite de controle, communique aux personnes concernees, documente en interne ou escalade aux clients. Pour une equipe SaaS, l'objectif n'est pas seulement de retenir la regle des 72 heures. Il faut savoir rapidement ce qui s'est passe, quelles donnees peuvent etre touchees, si les seuils du RGPD sont atteints, qui decide et quelles preuves soutiennent la decision.

Selon l'article 33 du RGPD, le responsable du traitement doit notifier l'autorite competente sans retard injustifie et, si possible, dans les 72 heures apres avoir pris connaissance d'une violation de donnees personnelles, sauf si celle-ci n'est pas susceptible d'engendrer un risque pour les droits et libertes des personnes. L'article 34 prevoit une communication separee aux personnes quand un risque eleve est probable. Les sous-traitants doivent informer le responsable sans retard injustifie apres avoir pris connaissance d'une violation.

Pourquoi c'est important

Les entreprises SaaS traitent des donnees dans l'infrastructure produit, le support, l'analytique, le CRM, les paiements, les journaux, les sauvegardes, les fonctions IA et les fournisseurs. Une violation peut donc devenir rapidement un sujet securite, privacy, juridique, confiance client et audit.

Les premieres heures sont souvent confuses. La securite contient l'incident. L'ingenierie verifie les systemes. Customer success demande quels comptes sont touches. Le juridique a besoin de faits pour evaluer les seuils. Sans flux prepare, l'equipe perd du temps a chercher qui est responsable de la decision.

Quand cela s'applique

Le RGPD definit une violation de donnees personnelles comme une violation de securite entrainant destruction, perte, alteration, divulgation non autorisee ou acces non autorise a des donnees personnelles. Elle peut toucher la confidentialite, l'integrite ou la disponibilite. Elle ne se limite pas aux attaques malveillantes.

Exemples SaaS: base de donnees de production exposee par erreur de configuration, tickets support envoyes au mauvais client, acces non autorise a des logs contenant des donnees personnelles, ordinateur vole non chiffre, suppression ou corruption de donnees sans recuperation fiable, incident chez un sous-traitant ou sous-sous-traitant.

Tout incident de securite n'est pas automatiquement notifiable. S'il n'y a pas de donnees personnelles, les regles RGPD de notification peuvent ne pas s'appliquer. Si des donnees personnelles sont impliquees mais qu'un risque pour les personnes est improbable, la notification a l'autorite peut ne pas etre requise. Les faits, l'evaluation, la decision et les mesures correctives doivent neanmoins etre documentes.

Separer detection et notification

Les programmes efficaces separent quatre questions: un incident de securite a-t-il eu lieu, des donnees personnelles sont-elles impliquees, existe-t-il un risque ou risque eleve pour les personnes, et qui doit etre informe par qui et quand.

La securite peut piloter detection et confinement, mais privacy ou juridique devrait posseder la decision de seuil. Produit, ingenierie, fournisseurs et equipes client fournissent les faits. Pour un SaaS qui agit comme sous-traitant, les obligations contractuelles envers le client peuvent imposer des delais ou contenus plus stricts que le calendrier reglementaire.

Construire un dossier d'evaluation

Le dossier d'evaluation est la preuve centrale. Il doit couvrir l'heure de detection, le moment de prise de connaissance, les systemes et fournisseurs impliques, les categories de donnees et personnes concernees, le nombre approximatif de personnes et enregistrements, la nature de l'impact, les mesures de confinement, les consequences probables, la mitigation, la decision de notification a l'autorite, la decision de communication aux personnes, les raisons de ne pas notifier, les responsables et les actions de suivi.

Ce dossier peut evoluer. L'article 33 permet de fournir les informations par phases lorsque tout n'est pas disponible immediatement. La bonne pratique consiste donc a ouvrir l'evaluation tot, puis a l'actualiser.

Organiser les 72 heures

Un modele pratique: de 0 a 4 heures, confirmer si des donnees personnelles peuvent etre concernees, ouvrir le dossier et nommer les responsables; de 4 a 24 heures, identifier systemes, donnees, personnes, fournisseurs, confinement et consequences; de 24 a 48 heures, decider si une notification est requise et preparer le brouillon; de 48 a 72 heures, notifier si necessaire, expliquer tout retard et planifier les informations complementaires; ensuite, poursuivre remediation, communication, analyse de cause et conservation des preuves.

Qui informer

L'autorite de controle peut devoir etre informee lorsqu'un risque pour les droits et libertes est probable. Les personnes concernees doivent l'etre lorsqu'un risque eleve est probable. Les clients peuvent aussi devoir etre informes au titre des contrats, DPA, engagements securite ou promesses de trust center.

La communication aux personnes doit etre claire: nature de la violation, point de contact, consequences probables et mesures prises ou proposees. Elle doit combiner exactitude juridique et conseils pratiques.

Relier aux controles produit et fournisseurs

La notification est plus simple quand les inventaires de donnees, registres de sous-traitants, logs d'acces, regles de conservation et revues de lancement sont a jour. Le flux doit se connecter a la reponse incident, aux registres de traitement, au vendor management, aux contrats client, aux sauvegardes, aux revues d'acces, aux avis de confidentialite et aux actions correctives.

Erreurs courantes

Les erreurs courantes consistent a traiter la notification comme un sujet juridique tardif, a ouvrir le dossier trop tard, a oublier les delais clients ou sous-traitants, a supposer que chiffrement ou recuperation terminent automatiquement l'analyse, et a fermer l'incident apres la notification sans remediation ni amelioration des controles.

FAQ

Que doivent comprendre les equipes?

La notification de violation est un flux sensible au temps avec detection, confinement, evaluation du risque, decisions juridiques, obligations clients, preuves et remediation.

Quand cela s'applique-t-il aux equipes SaaS?

Quand une violation de securite affecte des donnees personnelles par perte, alteration, divulgation, acces non autorise ou indisponibilite.

Quelle est la plus grande erreur?

Attendre que les faits soient complets avant de commencer l'evaluation. Il vaut mieux ouvrir le dossier tot, nommer les responsables et mettre a jour les conclusions.

Sources

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.