Le Règlement Général sur la Protection des Données (RGPD) oblige tout Responsable de traitement à garantir la sécurité des traitements de données à caractère personnel contre d’éventuels risques.
C’est notamment la raison pour laquelle l’article 4.12 du RGPD définit la violation de données à caractère personnelle comme étant
« Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. »
Une violation de données peut engendrer des risques, notamment pour les personnes concernées par le traitement de leurs données personnelles, le Responsable de traitement doit donc respecter certaines obligations.
L’OBLIGATION DE NOTIFICATION DES VIOLATIONS DE DONNÉES À L’AUTORITÉ DE CONTRÔLE
Le Responsable de traitement victime d’une violation de données à caractère personnel doit en notifier à la Commission nationale de l’Informatique et des Libertés (CNIL), dans les 72 heures au plus tard après avoir pris connaissance de celle-ci (article 33 du RGPD).
Cette notification doit comporter un certain nombre d’éléments :
- La description de la nature de la violation de données à caractère personnel y compris, si possible les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données concernées ;
- La communication du nom et les coordonnées du DPO ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- La description des conséquences probables de la violation de données à caractère personnel ;
- La description des mesures prises ou que le Responsable du traitement propose de prendre pour remédier à la violation de données.
Si le Responsable de traitement ne respecte pas le délai notification, ce dernier s’expose à des sanctions administratives pouvant aller jusqu’à 10 millions d’euros d’amendes, ou dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires mondial.
L’OBLIGATION DE NOTIFICATION DES VIOLATIONS DE DONNÉES AUX PERSONNES CONCERNÉES
Le Responsable de traitement a l’obligation de communiquer aux personnes concernées lorsque la violation de données est susceptible d’engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).
L’évaluation du risque élevé pour les personnes concernées doit être objective et transparente.
Le défaut de notification de la violation de données à caractère personnel aux personnes concernées