— Articles 33 & 34 du RGPD —
Un email envoyé au mauvais destinataire, un ransomware, un dossier patient accessible sans habilitation : toute violation de données personnelles déclenche une horloge. 72 heures pour notifier la CNIL — et en santé, des obligations supplémentaires qui s'ajoutent.
La définition
L'article 4.12 du RGPD définit la violation de données comme "une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données." La définition est très large — et en santé, presque chaque incident implique des données sensibles.
Violation de confidentialité
Des données sont consultées ou communiquées par des personnes qui ne devaient pas y avoir accès — intentionnellement ou par erreur.
Violation d'intégrité
Des données sont modifiées sans autorisation — par un tiers malveillant, un bug logiciel ou une erreur humaine — de sorte qu'elles ne reflètent plus la réalité.
Violation de disponibilité
Des données sont perdues, détruites ou deviennent temporairement inaccessibles — même sans divulgation à des tiers. La perte de disponibilité d'un système de santé peut mettre des vies en danger.
Toutes les violations ne sont pas notifiables à la CNIL — mais toutes doivent être documentées dans un registre interne (Art. 33.5 RGPD). La décision de notifier ou non est elle-même une décision qui doit être motivée et conservée. L'absence de registre des violations est un manquement sanctionnable indépendamment de la violation elle-même.
Le délai légal
Le délai de 72 heures commence à courir dès que le responsable de traitement "prend connaissance" de la violation — pas dès qu'elle est avérée, pas dès qu'elle est qualifiée, pas dès qu'elle est totalement documentée. La connaissance par un membre de l'équipe vaut connaissance par la structure.
Le délai commence dès qu'un membre de l'organisation détecte un incident susceptible de constituer une violation. Attendre d'avoir toutes les informations pour commencer l'analyse fait perdre un temps précieux. La notification peut être complétée ultérieurement (notification en deux temps prévue par le RGPD).
H0 — Détection
Par un membre de l'équipe, un système d'alerte, un prestataire ou un tiers. L'horloge commence. Alerter immédiatement le DPO ou le responsable de la structure.
H0–H24 — Qualification
Nature de la violation (confidentialité, intégrité, disponibilité), données concernées, personnes affectées, causes probables. Le DPO pilote cette analyse.
H24–H72 — Notification CNIL
Si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, notification à la CNIL sur le portail dédié. Possible en deux temps si l'analyse n'est pas complète.
Sans délai — Personnes concernées
Si la violation engendre un risque élevé pour les droits et libertés (données de santé compromises, usurpation d'identité possible…), les personnes concernées doivent être informées "dans les meilleurs délais".
Critères de notification
Le RGPD distingue deux seuils : le risque (notification à la CNIL) et le risque élevé (notification aux personnes). En santé, la présence de données de santé élève mécaniquement le niveau de risque — la quasi-totalité des violations déclenche au moins la notification à la CNIL.
Art. 33 RGPD
La notification est obligatoire dès que la violation est "susceptible d'engendrer un risque pour les droits et libertés des personnes physiques". En santé, avec des données de santé concernées, ce seuil est presque toujours atteint.
Art. 34 RGPD
Si la violation est susceptible d'engendrer un risque élevé pour les droits des personnes, elles doivent être informées individuellement "dans les meilleurs délais". En santé, la compromission de données médicales est presque systématiquement qualifiée de risque élevé.
Art. 33.5 RGPD
Toute violation doit être documentée dans un registre interne — y compris celles qui n'ont pas été notifiées à la CNIL, avec la justification de la décision de non-notification. Ce registre est le premier document demandé par la CNIL en cas de contrôle post-incident.
Spécificités santé
En santé, la gestion d'une violation de données ne se limite pas au RGPD. Des obligations sectorielles spécifiques s'y ajoutent — avec leurs propres délais et leurs propres interlocuteurs. Les ignorer peut aggraver significativement les conséquences d'un incident.
L'article L. 1111-8-2 du Code de la santé publique impose aux établissements de santé et aux opérateurs de services numériques en santé de déclarer les incidents de sécurité affectant leurs systèmes d'information à l'Agence du Numérique en Santé (ANS). Cette obligation est distincte et complémentaire de la notification CNIL.
La déclaration s'effectue sur le portail cyberveille-sante.fr et peut être transmise simultanément au CERT Santé pour appui technique. Les établissements soumis à la certification HDS ont des obligations renforcées de suivi des incidents.
Le CERT Santé (Computer Emergency Response Team Santé), opéré par l'ANS, offre une assistance technique aux structures de santé victimes d'incidents de cybersécurité. En cas de ransomware, d'intrusion ou d'incident majeur, le CERT Santé peut être contacté pour accompagner la réponse technique — confinement de l'incident, analyse forensique, remédiation.
Contacter le CERT Santé ne se substitue pas à la notification CNIL, mais est fortement recommandé pour tout incident cyber affectant des données de santé.
En santé, l'obligation d'informer les personnes concernées en cas de risque élevé est doublement fondée : par l'Art. 34 RGPD et par l'obligation d'information du patient inscrite dans le Code de la santé publique (Art. L. 1111-2 CSP). La compromission de données médicales engage la responsabilité de la structure vis-à-vis de ses patients — indépendamment du RGPD.
Gérer l'incident sans se perdre
Dans l'urgence d'un incident, les erreurs de gestion — minimiser, différer, mal documenter — peuvent transformer une violation gérable en crise majeure. Un DPO présent dès la détection structure la réponse et évite les faux pas qui aggravent la sanction.
La gestion d'une violation de données est une opération de crise qui mobilise des compétences juridiques, techniques et de communication simultanément. Le DPO est l'unique interlocuteur formé pour coordonner l'ensemble.
— Ne restez pas seul face à l'incident —
RGPD Santé accompagne les structures de santé dans la gestion des violations de données — de la qualification de l'incident à la notification CNIL, en passant par les obligations sectorielles spécifiques au secteur sanitaire.