Le Règlement Général sur la Protection des Données (RGPD), impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits des personnes concernées.

Violation des donn%c3%a9es 670 250

Qu’est-ce qu’une violation de données à caractère personnel ?

La violation ne sera constituée qu’à deux conditions cumulatives :

  • la violation doit toucher une donnée personnelle ;
  • la donnée fait l’objet d’une violation, c’est-à-dire, perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite.

Commet réagir en cas de violation ?

Il est fondamental de documenter en interne l’incident en déterminant :

  • la nature de la violation ;
  • les catégories et le nombre de personnes concernées par la violation ;
  • les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • les conséquences probables de la violation de données ;
  • les mesures prises ou envisagées afin d’éviter que l’incident ne se reproduise, ou atténuer les éventuelles conséquences négatives.

Dans l’éventualité où l’incident constitue un risque au regard de la vie privée des personnes concernées, il est impératif de notifier l’incident à la CNIL.

En cas de risque élevé, les personnes concernées doivent également être informées.

Sous quel délai notifier la violation ?

Une notification doit impérativement être transmise à la CNIL dans les 72 heures à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.

Dans l’éventualité où les informations ne pourraient être transmises intégralement dans ce délai de 72 heures (nécessité d’investigations complémentaires), il est possible d’opérer une notification en deux temps :

  • une notification initiale dans un délai de 72 heures à la suite d’une constatation de la violation des données (si le délai de 72h est dépassé, l’organisme devra expliquer lors de la notification, les motifs du retard) ;
  • une notification complémentaire dès lors que les informations sont disponibles.

Quel rôle pour la CNIL ?

Dès sa réception, la CNIL va instruire la notification. La procédure relative à la violation notifiée pourra être clôturée si la CNIL constate que :

  • la violation ne porte pas atteinte aux données personnelles ou ne présente pas de risques
    pour les droits et libertés des personnes ;
  • l’organisme aura correctement informé les personnes concernées ;
  • l’organisme a mis en place, préalablement à la violation, des mesures techniques de protection appropriées.

La CNIL pourra imposer d’informer les personnes concernées si elle constate :

  • qu’elles n’ont pas été correctement informées ;
  • que les mesures techniques de protection mises en place au préalable ne sont pas appropriées.

Quelle base légale pour l’obligation de notification de violation de données ?

La notification à la CNIL est prévue par l’article 33 du RGPD et concerne tous les responsables de traitement de données à caractère personnel.

Dans l’éventualité où la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour la personne physique, l’article 34 impose de les notifier.


Cet article a été rédigé en partenariat avec AD&JURIS INNOV.

Logo Ad&Juris Innov

Vous souhaitez en savoir plus ?

Discutons du RGPD dans votre entreprise

    Prenez

contact

Restons connectés

Recevez les derniers articles publiés et les bonnes pratiques liées au RGPD.