Notifier une violation des données personnelles

Avant le RGPD, les fournisseurs de services de communications électroniques avaient déjà l’obligation de notifier les violations de données personnelles à la CNIL (application au niveau national du « Paquet télécom »). Après l’application du nouveau règlement sur la protection des données, cette obligation connaitra divers changement quant à son application et sa portée. Grand angle sur la notification d’une violation des données personnelles.

Notifier des violations de données personnelles à la CNIL : les changements apportés par le RGPD

Avant, l’obligation de notifier la CNIL en cas de violation de données à caractère personnel était prévue par l’art 34 bis de la loi 78-17 du 6 janvier 1978. Le même article affirmait que cette obligation ne concerne que les fournisseurs de communications électroniques au public (fournisseur d’accès internet, opérateurs téléphonique). Ce n’est plus le cas dans le RGPD.
A partir du mai 2018, cette obligation de notification s’appliquera à tous les responsables du traitement (art. 33 du RGPD). On entend ici par responsable du traitement : tout organisme qui détermine les finalités et les moyens du traitement (art. 4 -7 du RGPD).

Violation de données personnelles, quand ?

Il est donc acquis que lorsqu’une violation de données personnelles survient, il faut en informer la CNIL. Il faut toutefois noter que diverses conditions doivent être réunies pour qu’il y ait vraiment violation :

  • Vous avez effectivement réalisé un traitement de données personnelles (collecte, enregistrement, conservation, communication, transfert…
  • Il y a une violation : perte, altération, divulgation, destruction… La violation peut être d’origine volontaire ou accidentelle ;
  • La violation est survenu durant la réalisation de votre activité ;

Comment notifier la CNIL ?

En cas de violation, il faut notifier la CNIL dans les plus brefs délais, au plus tard 72 heures après avoir pris connaissance de la violation. Si l’on dépasse ce délai, il faut informer la CNIL des raisons du retard.
En ce qui concerne la notification proprement dite, plusieurs informations doivent être transmises à la CNIL :

  • La nature de la violation, et si faisable, le nombre de personnes concernées ;
  • Le nom du délégué à la protection des données (DPO) ;
  • Les problèmes que peuvent entrainer la violation des données ;
  • Les mesures prises par le responsable du traitement pour remédier à la violation, le cas échéant, des mesures d’atténuation.

Exception à la règle de la notification

Il existe une exception à la règle de notification en cas de violation des données personnelles. La notification est inutile si la ou les violations ne sont pas susceptibles d’engendrer un risque pour les droits et libertés. La notification n’est également pas obligatoire si les données sont impossibles à lire (données fortement chiffrées).

Le devoir de notifier les personnes concernées

D’après l’article 34 du RGPD, en cas de violations de données personnelles il faut également notifier les personnes concernées (les propriétaires des données), surtout si les violations présentent un risque élevé pour les droits et libertés.

Il faut suivre les recommandations de la CNIL pour la rédaction de la notification (simple, claire et précise). Dans tous les cas, si l’on ne remplit pas les obligations imposées par le RGPD en cas de violation de données personnelles, la CNIL peut exiger le suivi de la règlementation, avec des sanctions financières à l’appui de sa demande. De plus, Privacil , logiciel RGPD, permet de notifier à la CNIL ces violations.