L’obligation de notification des violations de donnees
L’article 33 du RGPD impose au responsable de traitement de notifier a l’autorite de controle toute violation de donnees personnelles susceptible d’engendrer un risque pour les droits et libertes des personnes physiques. Cette notification doit intervenir dans les 72 heures suivant la prise de connaissance de la violation.
La prise de connaissance correspond au moment ou le responsable de traitement a un degre raisonnable de certitude qu’un incident de securite a eu lieu et que des donnees personnelles ont ete compromises. Le simple soupcon ne declenche pas le delai de 72 heures, mais le responsable de traitement doit mettre en oeuvre les moyens necessaires pour verifier rapidement la realite de l’incident.
Evaluer la necessite de notifier
Toutes les violations de donnees ne doivent pas etre notifiees a la CNIL. La notification n’est obligatoire que lorsque la violation est susceptible d’engendrer un risque pour les droits et libertes des personnes. En revanche, toutes les violations doivent etre documentees dans le registre des violations, meme celles qui n’ont pas ete notifiees.
Pour evaluer le risque, le responsable de traitement prend en compte la nature de la violation (confidentialite, integrite, disponibilite), le type et la sensibilite des donnees concernees, les consequences possibles pour les personnes (usurpation d’identite, perte financiere, atteinte a la reputation), le nombre de personnes concernees et les mesures de protection en place.
La procedure de notification en ligne
La notification s’effectue sur le site de la CNIL via le teleservice dedie accessible a l’adresse notifications.cnil.fr. Le formulaire de notification guide le responsable de traitement a travers les differentes informations a fournir : description de la violation, categories de donnees concernees, nombre de personnes affectees, consequences probables et mesures prises.
Le formulaire permet de realiser une notification initiale incomplete lorsque toutes les informations ne sont pas disponibles dans le delai de 72 heures. Les informations complementaires peuvent etre transmises ulterieurement via une notification complementaire qui reference la notification initiale.
Le teleservice attribue un numero de dossier unique a chaque notification. Ce numero doit etre conserve pour tout echange ulterieur avec la CNIL concernant cette violation. Un accuse de reception est envoye automatiquement par email au declarant.
Les suites de la notification
La CNIL peut demander des informations complementaires sur la violation ou sur les mesures prises. Elle peut egalement formuler des recommandations pour renforcer la securite et prevenir de futures violations. Dans les cas les plus graves, la CNIL peut decider d’ouvrir une procedure de controle.
Lorsque la violation presente un risque eleve pour les personnes concernees, le responsable de traitement doit egalement les informer directement, en des termes clairs et simples. Cette communication decrit la nature de la violation, les consequences possibles et les mesures que les personnes peuvent prendre pour se proteger (changement de mot de passe, surveillance des comptes bancaires).
