Violation de données : NIS 2 et GDPR en parallèle
Deux cadres de déclaration s'appliquent au même incident. L'article 33 du GDPR vise l'autorité de protection des données. L'article 23 de NIS 2 vise l'autorité de cybersécurité. Ils ne se remplacent pas l'un l'autre.
Pourquoi un seul incident déclenche deux horloges
Une attaque par rançongiciel qui exfiltre une base de données des salariés est un seul événement. Au titre de l'article 33 du GDPR, il s'agit d'une violation de données à caractère personnel. Au titre de l'article 23 de NIS 2, il s'agit d'un incident de cybersécurité important s'il perturbe la fourniture de services, cause une perte financière ou porte préjudice à des tiers. Les deux régimes peuvent s'appliquer aux mêmes faits en même temps.
Le considérant 14 de NIS 2 est explicite. NIS 2 n'affecte pas l'application du GDPR. La déclaration de cybersécurité au titre de l'article 23 de NIS 2 ne libère pas le responsable du traitement de l'obligation de l'article 33 du GDPR, et la notification de violation au titre du GDPR ne libère pas de la déclaration de cybersécurité.
Cette page décrit les deux cadres côte à côte. Ce n'est pas un conseil juridique. Une entité confrontée à une violation de données qui franchit à la fois les seuils de l'article 23 de NIS 2 et de l'article 33 du GDPR dépose généralement en parallèle, le délégué à la protection des données et le responsable de la sécurité se coordonnant sur une base factuelle partagée.
Article 33, paragraphe 1, du GDPR
In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.
L'horloge de 72 heures démarre lorsque le responsable du traitement prend connaissance de la violation, et non lorsque l'incident survient. Le seuil de risque est celui des droits et libertés des personnes physiques, et non l'impact opérationnel.
Cascade de l'article 23, paragraphe 4, de NIS 2
Member States shall ensure that the essential and important entities concerned submit to the CSIRT or, where applicable, the competent authority: (a) without undue delay and in any event within 24 hours of becoming aware of the significant incident, an early warning; (b) without undue delay and in any event within 72 hours of becoming aware of the significant incident, an incident notification; (c) a final report not later than one month after the submission of the incident notification under point (b).
Trois étapes vers le BSI en Allemagne, l'ANSSI en France, le RDI aux Pays-Bas. L'alerte précoce à 24 heures est l'élément distinctif. Le GDPR n'a pas d'obligation équivalente de déclaration dans la première heure.
Article 32 BSIG (Allemagne)
Important and essential entities shall report significant security incidents to the Federal Office without undue delay, following the cascade set out in Article 23(4) of Directive (EU) 2022/2555.
Le BSIG transpose la cascade de NIS 2 en droit allemand. Il ne modifie pas l'horloge du GDPR. L'article 33 du GDPR est un règlement de l'UE directement applicable et court parallèlement au BSIG.
Détecter et trier
La réponse à incident établit que des données à caractère personnel ont été consultées, exfiltrées ou rendues indisponibles. Les mêmes faits alimentent les deux appréciations juridiques. Les journaux forensiques, les systèmes touchés, les catégories de données touchées et les personnes concernées constituent la base de preuve partagée.
Classer au regard de deux seuils
L'importance au sens du GDPR dépend du risque pour les droits et libertés des personnes physiques (article 33 du GDPR). L'importance au sens de NIS 2 dépend de la continuité opérationnelle, de la perte financière ou du dommage matériel ou immatériel à des tiers (article 23, paragraphe 3, de NIS 2, précisé par la section 11.6 du CIR). Un incident peut franchir un seuil, l'autre, les deux, ou aucun.
Déposer en parallèle si les deux seuils sont atteints
Si les deux seuils sont atteints, l'autorité de cybersécurité reçoit la cascade de l'article 23 de NIS 2 et l'autorité de protection des données reçoit la notification de l'article 33 du GDPR. Deux destinataires, deux formats, deux calendriers. L'alerte précoce à 24 heures de NIS 2 est généralement la première chose à partir.
Deux horloges courent de façon indépendante
L'article 23, paragraphe 4, de NIS 2 démarre l'horloge de l'alerte précoce à 24 heures et de la notification à 72 heures à la prise de connaissance de l'incident important. L'article 33 du GDPR démarre une horloge de 72 heures à la prise de connaissance de la violation de données à caractère personnel. Les deux points de prise de connaissance coïncident souvent, mais les délais et les destinataires diffèrent. Attendre l'horloge du GDPR avant de déposer l'alerte précoce NIS 2 fait manquer la fenêtre de 24 heures.
Faits partagés, seuils différents
Les deux autorités veulent savoir ce qui s'est passé, quand, quels systèmes, quelles données et quelle remédiation. Les questions juridiques sont différentes. Le GDPR demande si des personnes physiques sont exposées à un risque pour leurs droits et libertés. NIS 2 demande si l'incident cause une perturbation opérationnelle, une perte financière ou un dommage matériel. Le même paragraphe factuel peut être réutilisé ; l'appréciation de l'importance, non.
BSI : Office fédéral de la sécurité des technologies de l'information
Autorité de cybersécurité au titre du BSIG. Reçoit la cascade de l'article 23 de NIS 2 : alerte précoce à 24 heures, notification d'incident à 72 heures, rapport final à un mois. Le canal de déclaration est le portail du BSI pour les entités importantes et essentielles.
BfDI / LfDI : autorités de protection des données
La BfDI pour les organismes fédéraux et les responsables du traitement du secteur des télécommunications et postal. Le LfDI du Land du responsable du traitement pour tous les autres. Reçoit la notification de l'article 33 du GDPR dans les 72 heures. La notification aux personnes concernées au titre de l'article 34 du GDPR s'ajoute lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés.
Obligation de coordination de l'article 23, paragraphe 11, de NIS 2
Lorsqu'un incident implique des données à caractère personnel, le CSIRT ou l'autorité compétente coopère avec l'autorité de protection des données. Cela signifie que les deux autorités peuvent partager des informations sur le même incident, mais cela ne dispense pas l'entité de l'une ou l'autre des obligations de déclaration. L'obligation de coordination incombe aux autorités, et non à l'entité.
Nous avons déposé auprès de la BfDI dans les 72 heures, donc c'est réglé.
L'article 33 du GDPR vise l'autorité de protection des données. L'article 23 de NIS 2 vise l'autorité de cybersécurité. Déposer auprès de l'une ne satisfait pas à l'autre. Le considérant 14 de NIS 2 confirme que les deux régimes s'appliquent de façon indépendante. Si les deux seuils sont atteints, les deux déclarations sont généralement déposées.
Nous pouvons coller le même texte de notification dans les deux formulaires.
Les paragraphes factuels sur ce qui s'est passé, quand, et quels systèmes sont touchés peuvent être partagés. La qualification juridique est différente. Le GDPR exige une description des conséquences probables pour les personnes concernées et des mesures pour faire face au risque pour les droits et libertés. NIS 2 exige la sévérité, l'impact et les indicateurs de compromission. Les formulaires posent des questions différentes.
Nous attendrons que le délégué à la protection des données ait achevé la notification GDPR avant de déposer auprès du BSI.
L'alerte précoce de l'article 23, paragraphe 4, de NIS 2 est due dans les 24 heures suivant la prise de connaissance. L'horloge de 72 heures du GDPR est plus longue. Faire passer la cascade NIS 2 après la notification GDPR fait généralement manquer la fenêtre de 24 heures. La plupart des manuels de réponse démarrent l'alerte précoce NIS 2 en premier et la notification GDPR en parallèle.
Menez un seul tri d'incident. Captez les faits une fois : chronologie, systèmes touchés, catégories de données touchées, nombre de personnes concernées, remédiation. Puis scindez en deux pistes d'appréciation. Le responsable de la sécurité pilote la cascade de l'article 23 de NIS 2. Le délégué à la protection des données pilote la notification de l'article 33 du GDPR. Les deux rendent compte au même commandant d'incident.
Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, l'article 34 du GDPR ajoute une notification aux personnes concernées en plus de la notification à l'autorité de contrôle. NIS 2 a sa propre obligation de communication publique au titre de l'article 23, paragraphe 2, lorsque l'incident peut affecter les bénéficiaires du service.
Le module d'incident capte une seule fois la base factuelle partagée. Sévérité, systèmes touchés, catégories de données touchées, chronologie et remédiation alimentent à la fois la vue cascade NIS 2 et le projet de notification GDPR. Les délais de 24 heures et de 72 heures sont suivis séparément avec leurs propres rappels.
Les rôles sont répartis. Le responsable de la sécurité est en charge du parcours NIS 2. Le délégué à la protection des données est en charge du parcours GDPR. Les deux voient la même source de vérité sur l'incident. La piste d'audit consigne quelle autorité a reçu quoi et quand.
- Règlement (UE) 2016/679 (GDPR), articles 33 et 34
- Directive (UE) 2022/2555 (NIS 2), article 23 et considérant 14
- Règlement d'exécution (UE) 2024/2690 de la Commission, section 11.6 (importance des incidents)
- Article 32 BSIG (transposition de l'article 23 de NIS 2 en Allemagne)
- Lignes directrices 9/2022 de l'EDPB sur la notification des violations de données à caractère personnel au titre du GDPR
- Orientations du BSI sur la déclaration des incidents importants au titre du BSIG