Chapitre 10.2 — Qualifier le risque
⏱️ TL;DR — Une fois la violation reconnue (10.1), tout dépend d’une seule évaluation : le risque pour les personnes concernées — pas pour ton entreprise. Ce renversement de perspective est la clé. On gradue le risque en trois niveaux : improbable (rien à notifier, mais on journalise), réel (on notifie la CNIL), élevé (on notifie la CNIL et on informe les personnes). Pour situer le curseur, on croise quatre facteurs : la nature des données (sensibles ? mineurs ?), le volume, la facilité de ré-identification, et les conséquences possibles (usurpation, discrimination, atteinte à la réputation, préjudice moral ou financier). Ce chapitre te donne l’arbre de décision qui transforme cette analyse en obligations concrètes.
🎯 Objectifs
- Adopter le bon réflexe : évaluer le risque pour les personnes, jamais pour l’organisation.
- Graduer une violation en improbable / réel / élevé.
- Croiser les quatre facteurs de risque pour situer le curseur.
- Déduire de ce niveau les trois scénarios d’obligations (journaliser / notifier / notifier + informer).
Le renversement de perspective : le risque pour les personnes
C’est l’erreur numéro un, et elle est instinctive. Face à une fuite, le premier réflexe humain est de penser « quel est le risque pour nous ? » — amende, réputation, clients perdus. Le RGPD demande exactement l’inverse : quel est le risque pour les personnes dont les données ont fuité ?
Un exemple rend le renversement évident. Une fuite qui expose la liste des allergies et aménagements de handicap d’une classe est, pour l’entreprise, une donnée « banale » sans valeur marchande. Pour les enfants concernés, c’est une divulgation de données de santé aux conséquences potentiellement graves (stigmatisation, discrimination). Le risque entreprise est faible ; le risque personnes est élevé. C’est ce dernier, et lui seul, qui commande les obligations des articles 33 et 34.
⚠️ Piège — Sous-évaluer une violation parce qu’« on n’a rien à se reprocher » ou que « ça ne nous coûte rien ». Le baromètre n’est pas ton exposition juridique ou commerciale, c’est le préjudice possible pour les personnes. À l’inverse, ne sur-notifie pas non plus par panique : une violation au risque véritablement improbable ne se notifie pas — on la journalise (voir 10.4). L’enjeu est de calibrer juste, pas de tout envoyer ni de tout taire.
Les quatre facteurs qui font monter le curseur
Le niveau de risque ne se devine pas, il s’évalue en croisant quatre facteurs. Plus ils s’additionnent, plus le curseur grimpe.
| Facteur | La question | Ce qui fait monter le risque |
|---|---|---|
| Nature des données | De quoi parle-t-on ? | Données sensibles (santé, art. 9), données de mineurs, données financières, identifiants d’authentification, données permettant l’usurpation |
| Volume & personnes | Combien, et qui ? | Beaucoup de personnes ; des personnes vulnérables (enfants, patients) |
| Ré-identification | Est-ce facilement rattachable à quelqu’un ? | Données en clair, non chiffrées, directement nominatives ; à l’inverse, un chiffrement robuste fait chuter le risque |
| Conséquences | Qu’est-ce que ça peut provoquer ? | Usurpation d’identité, fraude, discrimination, atteinte à la réputation, préjudice moral, physique ou financier |
Le raisonnement est combinatoire. Trois adresses e-mail professionnelles divulguées, c’est un risque faible. Trois dossiers d’élèves avec nom, adresse, résultats scolaires et aménagements de handicap, c’est un risque élevé — même si le volume est identique. La nature des données pèse souvent plus lourd que le nombre.
🔒 Côté personne concernée — Mets-toi à la place du parent dont l’enfant est concerné. Ce qui l’inquiète, ce n’est pas ton amende : c’est « est-ce que quelqu’un peut se faire passer pour mon enfant ? », « est-ce que sa situation de santé va se retrouver sur Internet ? », « est-ce qu’on va pouvoir le contacter ou le cibler ? ». Évaluer le risque, c’est répondre honnêtement à ces questions-là. Le « test du proche » (Partie 1.3) reste ton meilleur calibreur.
Les trois niveaux et ce qu’ils déclenchent
L’évaluation débouche sur trois niveaux, chacun associé à une obligation. C’est le cœur opérationnel de toute la Partie 10.
| Niveau de risque | Obligation | Où on l’approfondit |
|---|---|---|
| Improbable | Aucune notification à la CNIL, mais journalisation au registre interne | 10.4 |
| Réel (un risque existe) | Notifier la CNIL dans les 72 h + journaliser | 10.3 |
| Élevé | Notifier la CNIL et informer les personnes + journaliser | 10.3 et 10.4 |
Deux points à ne jamais oublier :
- La journalisation au registre est obligatoire dans les trois cas, y compris quand on ne notifie pas (art. 33.5). « Risque improbable » ne veut pas dire « on oublie » : ça veut dire « on documente pourquoi on ne notifie pas ».
- Le seuil de notification CNIL est bas : on notifie sauf si le risque est improbable. Autrement dit, dans le doute, on penche vers la notification.
L’arbre de décision
Voici la logique complète, du constat de la violation à l’obligation. Garde cet arbre sous les yeux : c’est lui qu’on rejoue dans le playbook (10.5).
💡 Réflexe — Ne fais jamais cette évaluation seul et à chaud. Le niveau de risque est une décision documentée, à prendre avec le DPO (s’il existe) et le responsable, en s’appuyant sur les lignes directrices du CEPD (qui fournissent des exemples chiffrés par type de violation). Écris ton raisonnement au fil de l’eau : les facteurs retenus, le niveau conclu, la décision de notifier ou non. Ce raisonnement écrit est la preuve d’accountability (art. 5.2) — et il te sauve si la CNIL demande « pourquoi n’avez-vous pas notifié ? ».
🧭 Sur FormaCampus — Rejouons trois incidents de FormaCampus. (1) Trois adresses e-mail de formateurs visibles dans un
ccmalheureux → risque improbable : on journalise, on ne notifie pas. (2) Un export contenant nom, classe et résultats de 400 élèves envoyé au mauvais organisme → risque réel (mineurs, ré-identification directe, volume) : on notifie la CNIL. (3) Le même export mais incluant les aménagements de handicap (donnée de santé) → risque élevé : notification CNIL et information des familles. Trois fois « le même type d’erreur », trois obligations différentes — parce que la nature des données déplace le curseur.
📚 Le texte — Le seuil de notification à la CNIL est fixé par l’article 33 (« à moins que la violation ne soit pas susceptible d’engendrer un risque »), et le seuil d’information des personnes par l’article 34 (« risque élevé »). Le CEPD a publié des lignes directrices détaillant l’évaluation du risque et un modèle de gravité — la référence pour calibrer « improbable / réel / élevé » sur un cas concret.
✏️ Exercices
Exercice 1 — Pour qui le risque ? Une base marketing de FormaCampus (e-mails de prospects, sans autre donnée) fuit. Le dirigeant dit : « Pas grave, ce ne sont que des prospects, on ne perd pas de clients. » Explique en quoi son raisonnement est hors sujet, puis évalue le risque pour les personnes.
✅ Solution
Le dirigeant évalue le risque pour l’entreprise (« on ne perd pas de clients ») — ce n’est pas le critère du RGPD. Il faut évaluer le risque pour les personnes dont les e-mails ont fuité : ici, des e-mails seuls, non sensibles, exposent surtout à du spam / hameçonnage ciblé. Le risque existe mais reste limité ; selon le volume et le contexte, on penchera vers un risque réel mais faible (notification CNIL à évaluer, journalisation obligatoire). Le point clé : on a posé la bonne question.
Exercice 2 — Situe le niveau. Pour chaque violation, donne le niveau (improbable / réel / élevé) et l’obligation : (a) 5 000 comptes apprenants avec e-mail et mot de passe haché faiblement exposés ; (b) un trombinoscope interne (prénom + photo) de 12 formateurs adultes divulgué ; (c) les certificats médicaux de 30 stagiaires accessibles par erreur en téléchargement public.
✅ Solution
(a) Élevé — volume important, identifiants d’authentification (risque d’usurpation sur d’autres services par réutilisation de mot de passe), hachage faible = ré-identification/déchiffrement possible : notifier la CNIL et informer les personnes (leur demander de changer de mot de passe). (b) Réel mais faible, voire improbable selon le contexte — adultes, données peu sensibles ; journalisation obligatoire, notification à évaluer. (c) Élevé — données de santé (art. 9), ré-identification directe : notification CNIL et information des personnes.
Exercice 3 — Le facteur qui bascule. Deux violations exposent chacune 200 dossiers d’élèves. La première contient nom + classe ; la seconde, nom + classe + orientation scolaire et bilan psychologique. Même volume : pourquoi les obligations diffèrent-elles ?
✅ Solution
C’est la nature des données qui bascule le curseur, à volume égal. Nom + classe : ré-identification directe mais faible sensibilité → risque réel (notifier la CNIL). Ajouter un bilan psychologique fait entrer des données très sensibles touchant des mineurs, aux conséquences lourdes (stigmatisation) → risque élevé : notifier la CNIL et informer les familles. Leçon : la nature pèse souvent plus que le volume.
🧠 Quiz de révision
1. Le risque s’évalue par rapport à qui ?
Aux personnes concernées (les individus dont les données ont fuité), pas à l’entreprise. C’est le renversement de perspective central : on mesure le préjudice possible pour les gens, pas l’exposition de l’organisation.
2. Quels sont les quatre facteurs d’évaluation ?
La nature des données (sensibles ? mineurs ?), le volume et les personnes concernées, la facilité de ré-identification (chiffrées ou en clair ?), et les conséquences possibles (usurpation, discrimination, préjudice moral/physique/financier). On les croise, le raisonnement est combinatoire.
3. Quels sont les trois niveaux de risque et leurs obligations ?
Improbable → journaliser, pas de notification. Réel → notifier la CNIL (72 h) + journaliser. Élevé → notifier la CNIL et informer les personnes + journaliser. La journalisation au registre est obligatoire dans tous les cas.
4. À volume égal, qu’est-ce qui peut faire passer une violation de « réel » à « élevé » ?
La nature des données : ajouter des données sensibles (santé, art. 9), des données de mineurs, ou des identifiants permettant l’usurpation fait grimper le risque, même sans augmenter le nombre de personnes. La nature pèse souvent plus que le volume.
5. « Risque improbable » signifie-t-il qu’on n’a rien à faire ?
Non. On ne notifie pas la CNIL, mais on journalise obligatoirement la violation au registre interne (art. 33.5), en documentant pourquoi le risque a été jugé improbable. C’est cette trace qui prouve qu’on a bien analysé — et non ignoré — l’incident.
Chapitre suivant : Notifier la CNIL (72 h) — le risque est « réel » ou « élevé » : le compte à rebours de l’article 33 démarre. On voit quand il commence, ce que contient la notification, et comment notifier même quand tout n’est pas encore connu.