Yanis GANDRILLON
21 juil. 2023
Protection des Données Personnels
Le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.
En vertu de l’article 33 du RGPD, dès lors que le constat d’une violation a eu lieu, la notification de cette situation à la CNIL doit se faire « dans les meilleurs délais », c'est-à-dire « si possible soixante-douze heures au plus tard après en avoir pris connaissance ».
Le responsable de traitement n'y est toutefois pas tenu s'il peut démontrer qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques, comme dans l'hypothèse où toutes les informations sont déjà rendues publiques.
Sans cela, et à défaut d'intervenir dans le délai de soixante-douze heures, la notification doit au moins être assortie des motifs du retard.
Les obligations de notification sont variables en fonction du risque soulevé par les violations : toutes les violations ne doivent pas nécessairement être notifiées à l’autorité de contrôle ou aux personnes concernées.
Ainsi, l’obligation de notifier dépend du risque que la violation de données personnelles fait peser sur les droits et libertés des individus dont les données ont été impactées.
Si la violation n’entraîne pas de risque pour les droits et libertés des personnes concernées, le responsable du traitement doit uniquement documenter, en interne sous forme d’un registre, la violation qui vient de se produire.
En revanche, si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement doit non seulement établir ce registre mais également notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h.
Si la violation entraîne un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement doit non seulement établir le registre et notifier la CNIL mais également communiquer la violation aux personnes concernées, et ce au plus tôt.
Dans ce cas, l’information des personnes concernées doit être la priorité du responsable du traitement, car cela leur permet de prendre des mesures destinées à les protéger de ces risques.
L’appréciation de l’existence d’un risque, élevé le cas échéant, doit être faite au cas par cas par le responsable du traitement, lequel doit notamment tenir compte des éléments suivant :
- le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;
- la nature, la sensibilité et le volume des données personnelles concernées ;
- la facilité d’identifier les personnes touchées par la violation ;
- les conséquences possibles de celles-ci pour les personnes.
La notification à la CNIL s’effectue par le biais d’un téléservice sécurisé dédié, qui guide le déclarant dans sa démarche.
Elle doit contenir a minima les éléments suivants :
- la nature de la violation ;
- les catégories et le nombre approximatif des personnes concernées ;
- les catégories et le nombre approximatif d'enregistrements concernés ;
- les conséquences probables de la violation ;
- les coordonnées de la personne à contacter (DPO ou autre) ;
- les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.
La communication aux personnes concernées contient, le cas échéant, sensiblement les mêmes informations.
Après la notification sur le téléservice, la CNIL étudie le dans les 24 h en s’intéressant en particulier au niveau de risque engendré par la violation pour les droits et libertés des personnes concernées et en analysant les mesures techniques et/ou organisationnelles mises en œuvre avant la violation, mais aussi après (afin d’éviter que cette dernière ne se reproduise).
À la suite de cette analyse et au besoin uniquement, la CNIL effectue, dans les 72 h, un retour par courriel avec des conseils, remarques ou questions. Elle peut proposer une analyse de risque aux conclusions différentes de celle du responsable de traitement, nécessitant par exemple l’information des personnes concernées. La CNIL laisse alors un délai de réponse aux responsables de traitement afin de lui faire part de ses observations sur les points soulevés.
Sans retour de la CNIL sous 2 mois, le responsable de traitement peut considérer que la CNIL n’a pas de remarques à formuler.