A compter du 25 mai 2018, il existera de nouvelles obligations de notification des violations de données personnelles.
En effet, le règlement général sur la protection des données (RGPD) (Rég. UE 2016/679 du 27-4-2016) généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles.
Ces obligations s’appliquent à tous les responsables de traitement, c’est-à-dire à tout organisme qui « détermine les finalités et les moyens du traitement » (Art. 4, 7° du RGPD), et non plus seulement aux entreprises fournissant des services de communications électroniques, comme le droit français l’impose à l’heure actuelle.
L’obligation de notification des violations de données personnelles à l’autorité de contrôle
L’obligation de notification à l’autorité de contrôle d’une violation de données à caractère personnel est introduite par l’article 33 du RGPD.
En vertu de cet article, le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans ce délai, il convient de l’informer des motifs du retard. En France, l’autorité de contrôle compétente est la Cnil.
Lorsqu’un responsable du traitement constate une violation des données à caractère personnel qu’il traite, il est tenu d’informer l’autorité de contrôle de :
- la nature de la violation de données à caractère personnel y compris, si possible, des catégories et du nombre approximatif de personnes concernées par la violation et des catégories et du nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- du nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- des conséquences probables de la violation de données à caractère personnel ;
- des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
S’il n’est pas possible de fournir toutes ces informations en même temps, elles peuvent l’être par étapes, dans un délai raisonnable.
De plus, le responsable du traitement doit documenter toute violation des données à caractère personnel, en décrivant les faits et les mesures qui ont été prises afin de permettre à la Cnil de vérifier qu’il a bien respecté son obligation de notification.
Il existe cependant une dérogation à cette obligation de notification des violations de données personnelles lorsque les violations en question ne sont pas susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques. En outre, dans l’attente de la mise en œuvre du règlement et au regard des rapports publiés sur le sujet, cette obligation ne s’imposerait que pour les données qui pourraient être lues (2). Les failles concernant les données fortement chiffrées, rendant l’identification des données et des personnes, impossible n’auraient pas à être notifiées.
Le devoir de communication aux personnes concernées
L’obligation de notification des violations de données personnelles aux personnes concernées est introduite par l’article 34 du RGPD.
Conformément à cet article, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
La communication à la personne concernée doit être claire et simple, et contenir les informations suivantes :
- le nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- les conséquences probables de la violation de données à caractère personnel ;
- les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Il existe certaines dérogations à la notification des violations de données personnelles aux personnes concernées lorsque :
- le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
- le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ;
- elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
Dans l’éventualité où le responsable du traitement ne remplirait pas cette obligation de notification des violations de données personnelles à la personne concernée, l’autorité de contrôle peut intervenir et exiger du responsable du traitement qu’il procède à cette communication.
Virginie Bensoussan-Brulé
Lexing Contentieux numérique
(1) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4-5-2016, p. 1–88)
(2) J. Ph. Albrecht, Rapport sur la proposition de règlement, Doc. A7-0402-2013 du 21-11-2013, amendement 64, p. 477.