Selon la CNIL, la notion de violation de données se caractérise par une perte de disponibilité, d’intégrité ou de confidentialité des données confiées à une structure par un utilisateur. Ces violations peuvent se produire du fait d’un évènement à caractère accidentel ou illicite.

Que faire en cas de violation de données personnelles ?

Le RGPD prévoit des dispositions propres à la violation de données. Il stipule que dans le cas d’une violation suspectée ou avérée, le responsable du traitement des données doit avertir l’autorité de contrôle dans les meilleurs délais. Il peut aussi être nécessaire d’avertir les utilisateurs qui ont confié ces données si la violation présente un risque pour leurs droits et libertés.

Pour informer correctement l’autorité de contrôle (en France, la CNIL), le responsable du traitement des données doit lui faire parvenir un certain nombre d’éléments. Il faut cependant noter que lorsque les violations n’entrainent pas de risques pour les droits et les libertés des utilisateurs, la notification de violation auprès de la CNIL n’est pas obligatoire.

Dans le cas contraire, le responsable du traitement doit tout d’abord spécifier la nature de la violation. Accident ? Acte illicite ? L’autorité de contrôle doit avoir connaissance des éléments entourant la violation. Il faut également mentionner le nombre d’utilisateurs concernés et le volume et la nature des données ciblées. Ces informations peuvent, si les chiffres exacts ne sont pas connus, être approximatives.

Il faut ensuite transmettre à la CNIL le nom du DPO ou de la personne compétente pour fournir de plus amples informations au sujet de la violation. Les conséquences probables de la violation doivent être mentionnées, ainsi que les mesures prises par le responsable pour y faire face. En fonction du caractère et de la gravité de la violation, la structure peut aussi avoir l’obligation d’envisager des mesures pour prévenir de nouvelles violations.

Si le responsable ne dispose pas de toutes ces informations, il peut les transmettre à la CNIL au fur et à mesure de son investigation. Il doit en revanche documenter sa procédure de notification de violation afin de prouver, si besoin, qu’elle a été respectée.

La notification aux personnes concernées

Dans ce cadre de ce qui s’appelle le devoir d’information, la structure doit aussi informer les utilisateurs de la violation de leurs données personnelles. Tout comme pour la CNIL, cette obligation ne vaut que lorsque la violation présente un risque pour les droits et libertés de l’utilisateur.

La notification adressée à l’utilisateur contient généralement les mêmes données que celles transmises à l’autorité de contrôle. L’utilisateur a donc connaissance de la nature de la violation, des conséquences de celle-ci et des dispositions prises par la structure pour faire face à ces conséquences. La structure se doit aussi de transmettre les coordonnées du responsable de traitement ou de son DPO aux utilisateurs concernés afin qu’il puisse répondre à leurs questions.

Pour rédiger une notification type de violation de données personnelles, le plus simple est de faire appel à un professionnel. Celui-ci pourra vous apporter des conseils techniques et juridiques qui vous garantiront d’effectuer vos notifications dans les règles de l’art, en toute conformité avec le RGPD.