données personnelles
Dois-je notifier une violation de sécurité ?
Depuis l’entrée en vigueur du RGPD, le responsable d’un traitement de données à caractère personnelle a l’obligation de notifier toute violation de sécurité :
- à la CNIL dans les meilleurs délais, et si possible, 72 heures au plus tard après sa connaissance (exception : si une telle notification ne peut avoir lieu dans ce délai, elle devra être assortie des motifs du retard et des informations pourront être fournies de manière échelonnée sans autre retard). Vous pourrez notifier ladite violation directement en ligne sur le site internet de la CNIL.
- à la personne concernée en cas de risque élevé pour ses droits et libertés (ex : violation du secret médical).
On entend ici par violation de sécurité toute situation dans laquelle, de manière accidentelle ou illicite, il y aurait perte de disponibilité, d’intégrité ou de confidentialité concernant ces dernières.
Le sous-traitant doit également notifier au responsable de traitement dans les meilleurs délais après en avoir eu connaissance l’identification d’une faille de sécurité.
L’information de la personne concernée par la violation de sécurité n’est pas obligatoire dans les cas suivants :
- le responsable de traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées (ex : chiffrement),
- le responsable de traitement a pris des mesures ultérieures garantissant que le risque élevé pour les droits et libertés n’est plus susceptible de se reproduire,
- elle exigerait des efforts disproportionnés.
Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut cependant, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication.