Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.

Il peut donc s’agir de différentes catégories de données :

• État civil, identité, données d’identification (nom, prénom, adresse, photographie, date et lieu de naissance...)

• Vie personnelle (habitudes de vie, situation familiale, hors données sensibles ou dangereuses)

• Vie professionnelle (CV, scolarité, formation professionnelle, distinctions…)

• Informations d’ordre économique et financier (revenus, situation financière, fiscale…)

• Données de connexion (adresse IP, journaux d’évènements…)

• Données de localisation (déplacements, données GPS…)

• Coordonnées bancaires

/!\ A RETENIR : Même une information apparemment anodine peut constituer une DCP si elle permet d'identifier une personne (seule ou croisée avec d'autres données).
 

Certaines catégories particulières de données davantage sensibles nécessitent une attention particulière, il s’agit des données révélant :

• L’origine raciale ou ethnique

• Les opinions politiques

• Les convictions religieuses ou philosophiques

• L’appartenance syndicale

• Les données génétiques ou biométriques

• Les données concernant la santé

• La vie sexuelle ou l’orientation sexuelle

Exemples :

• Dossier médical, antécédents de santé

• Certificat d’aménagement d’examen lié à un handicap

• Résultats de tests psychotechniques dans un cadre RH

• Données médicales d’un étudiant transmises au service de santé

/!\ Important : La compromission d’une donnée sensible implique de facto un risque élevé pour la personne concernée et nécessite une notification à la CNIL ainsi qu’une information individuelle de la personne concernée qui sera mise en œuvre par le service DPO dès réception de l’information.

Une violation de données est un incident de sécurité entraînant, de manière accidentelle ou illicite :

• la destruction,

• la perte,

• l’altération,

• la divulgation non autorisée ou

• l’accès non autorisé à des données à caractère personnel.

Une perte de disponibilité, même temporaire, constitue également une violation.

Exemples :

• Envoi d’un fichier contenant des DCP à un mauvais destinataire

• Vol ou perte d’un ordinateur non chiffré contenant des DCP

• Piratage d’une boîte mail institutionnelle

• Suppression accidentelle de fichiers contenant des données RH

• Blocage temporaire de l’accès aux dossiers médicaux du service de santé universitaire

Cas concret : L’indisponibilité, même de deux heures, de dossiers médicaux dans un service d’urgence hospitalier peut compromettre la prise en charge médicale des personnes concernées et implique en conséquence un risque élevé pour les personnes concernées.
Dans cette hypothèse, l’établissement à l’obligation de procéder à la notification de la violation auprès de la CNIL et d’informer les personnes concernées.

Cas concret : L’indisponibilité pendant 4h des espaces ALFRESCO pour l’ensemble des établissements. Il s’agit d’une indisponibilité temporaire mais qui n’entraine à priori pas de risque pour les personnes concernées. En l’absence de risque, pas de notification auprès de la CNIL, ni de communication aux personnes concernées.

Lorsqu’une violation de données à caractère personnel est constatée, il est essentiel d’évaluer si elle est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Cette évaluation conditionne l’obligation de notification à la CNIL et, le cas échéant, l’obligation d’information des personnes concernées.

Définition du risque

Un risque est caractérisé par la possibilité que les personnes subissent un dommage physique, matériel ou moral du fait de la violation de leurs données personnelles.

Le niveau du risque dépend de plusieurs facteurs, notamment :

• la nature des données concernées (simples ou sensibles),

• le volume de données exposées,

• le nombre de personnes concernées,

• l’accessibilité des données par des tiers non autorisés,

• la réversibilité ou non de la violation (ex. : destruction définitive).
 

Exemples de risques pour les personnes concernées

Voici une liste non exhaustive des principaux types de risques identifiés par les autorités de protection des données :

Si une violation de données à caractère personnel est identifiée, il convient d'informer directement le DPO à cette adresse afin qu'il puisse poursuivre la procédure comme suit :

• ✅ Oui, il y a un risque : la violation sera consignée dans le registre interne des violations + notifiée à la CNIL + pour les risques important, portée à la connaissance des personnes concernées.

• ❌ Non, il n’y a pas de risque identifié (ex. : données non sensibles, non identifiantes, pas d’impact pour les personnes) : la violation sera uniquement consignée en interne sans être notifiée à la CNIL ou aux personnes concernées.

Informations à solliciter auprès du déclarant d’une violation de données et à transmettre au DPO :

• Nom et coordonnées de la personne déclarante

• Établissement concerné,

• Contexte de la violation,

• Jour et heure de la violation,

• Quelles sont les données concernées (catégories de donnée personnelles),

• Nombre approximatif de personnes dont les données ont été violées,

• Mesures de sécurité avant et après l’incident.