En vertu du règlement général sur la protection des données (GDPR), lorsqu’une violation de données personnelles se produit, les responsables de traitement doivent notifier:
  • L’autorité de contrôle concernée lorsque la violation peut entraîner un risque pour les droits et la libertés des personnes concernées;
  • Les personnes concernées lorsque la violation des données à caractère personnel peut entraîner un risque élevé pour leurs droits et libertés.
1. Qu’est-ce qu’une violation de données personnelles ?

Selon le GDPR, la «violation des données personnelles» constitue une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, la modification, la divulgation ou l’accès non autorisés à des données personnelles transmises, stockées ou traitées d’une autre manière.

En termes généraux, lorsqu’une violation de sécurité concernant des données à caractère personnel se produit, elle peut être considérée comme une violation de données personnelles.

2. Quand faut-il notifier l’Autorité de contrôle ?

Une notification est nécessaire si la violation peut entraîner un risque pour les droits et libertés des personnes concernées et doit être effectuée dans les 72 heures suivant la révélation de la violation.

2.1. Notification obligatoire lorsqu’il y a un « risque pour les droits et les libertés des personnes concernées »

Le responsable de traitement n’est tenu de notifier l’autorité seulement si la violation des données à caractère personnel risque d’entraîner un risque pour les droits et libertés des personnes physiques

Le risque pour les droits et les libertés des personnes physiques peut résulter d’un traitement des données à caractère personnel susceptible d’entraîner des dommages physiques, matériels notamment lorsque:

  • Le traitement implique une grande quantité de données à caractère personnel et affecte un grand nombre de personnes concernées.
  • Le traitement peut donner lieu à discrimination, vol d’identité ou fraude, perte financière, atteinte à la réputation, perte de confidentialité des données protégées par le secret professionnel, reversabilité non autorisée de pseudonymisation ou tout autre désavantage économique ou social important;
  • Les personnes concernées pourraient être privées de leurs droits et libertés ou être empêchées d’exercer un contrôle sur leurs données à caractère personnel;
  • Des catégories particulières de données sont traitées (c’est à dire qu’elles révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, les données génétiques, les données sur la santé ou les données relatives à la vie sexuelle ou les condamnations et infractions pénales);
  • Lorsque les aspects personnels sont évalués ainsi que l’emplacement ou les mouvements suivis, afin de créer ou d’utiliser des profils personnels;
  •   Lorsque des données à caractère personnel concernant des personnes physiques vulnérables, en particulier des enfants, sont traitées
2.2. Notification de l’Autorité de contrôle dans les 72 heures

En cas de violation de la sécurité des données personnelles, le responsable de traitement doit en aviser l’autorité de contrôle concernée sans retard injustifié et dans tous les cas, au plus tard 72 heures après en avoir pris connaissance.

Dans certaines circonstances, il peut en aviser l’autorité après la période de 72 heures. Toutefois, il devra justifier le retard dans la notification.

2.3. Contenu de la notification à l’Autorité

La notification devrait contenir les éléments suivants:

  • Description de la nature de la violation des données à caractère personnel, y compris, le cas échéant, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif de données à caractère personnel concernées
  • Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact où il est possible d’obtenir plus d’informations
  • Description des conséquences probables de la violation des données
  • Description des mesures prises ou envisagées, y compris des mesures visant à atténuer les éventuels effets négatifs

Le responsable de traitement doit documenter toute violation de données afin que l’Autorité puisse vérifier la conformité avec le règlement.

Si le responsable de traitement ne dispose pas de toutes les informations requises, il peut le fournir au fur et à mesure qu’il en prend connaissance.

2.4. Qu’en est-il du sous-traitant ?

Le sous-traitant, il doit en informer le responsable de traitement sans retard excessif après avoir pris connaissance d’une violation de données personnelles.

3. Quand faut-il informer les personnes concernées ?

Les personnes victimes de la violation de leurs données personnelles n’ont pas toujours a être informée de l’incident. Notamment si le risque n’est pas suffisamment élevé ou que les mesures nécessaires ont été prises.

3.1. Communication obligatoire lorsqu’il y a « un risque élevé pour les droits et libertés » des individus

Lorsque la violation des données personnelles est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit informer la personne concernée de la violation des données personnelles sans retard injustifié.

Toutefois, dans la pratique, cette notification ne devrait pas remettre en question l’enquête et, par conséquent, la notification devrait être faite dès que raisonnablement possible, en tenant compte du type de risque à atténuer.

La notion de «risque élevé» n’est pas définie dans le GDPR mais les responsable de traitements devraient se référer à la notion de risque telle que définie ci-dessus et évaluer la gravité des conséquences de la violation des données personnelles pour les personnes concernées.

Si le responsable de traitement n’a pas communiqué la violation des données à caractère personnel à la personne concernée lors de la notification à l’autorité, l’autorité de contrôle peut l’exiger.

Des recommandations supplémentaires devraient être communiquées par les autorités sur ce point.

3.2. Exception lorsque des mesures nécessaires ont été prises

Une communication n’est pas requise si l’une des conditions suivantes est remplie:

  • Des mesures de protection technique et organisationnelle appropriées ont été appliquées aux données personnelles concernées et ont rendu les données personnelles inintelligibles, telles que le cryptage
  • Des mesures ultérieures visant à garantir que le risque élevé pour les droits et libertés des personnes concernées ne sont plus susceptibles de se concrétiser ont été prises
  • Cela impliquerait un effort disproportionné. Une communication publique ou une mesure similaire doit être faite pour que les données reçues soient informées de la même manière.
3.3. Contenu de la notification aux personnes concernées

La notification doit décrire en langage clair et clair la nature de la violation des données personnelles, les informations et les mesures prises.

Il devrait également inclure toute recommandation visant à atténuer les effets néfastes de la notification de violation des données.

Ce article est également disponible en en_GB.

Partage

Notification des violations de données personnelles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *