L’obligation de notification des violations
Si vous vous apercevez que les données que vous traitez ont fait l’objet d’une violation qui met en péril la sécurité de l’utilisateur, il est de votre devoir de le notifier. L’obligation de notification est une exigence à respecter pour être en conformité avecle RGPD et assurer la protection des données personnelles. Mais comment reconnaîtreune violation de données, et qui avertir ?
Qu’est-ce que la violation de données personnelles ?
Selon la CNIL, la notion de violation de données se caractérise par une perte de disponibilité, d’intégrité ou de confidentialité des données confiées à une structure par un utilisateur. Ces violations peuvent se produire du fait d’un évènement à caractère accidentel ou illicite.
Que faire en cas de violation de données personnelles ?
Le RGPD prévoit des dispositions propres à la violation de données. Il stipule que dans le cas d’une violation suspectée ou avérée, le responsable du traitement des données doit avertir l’autorité de contrôle dans les meilleurs délais. Il peut aussi être nécessaire d’avertir les utilisateurs qui ont confié ces données si la violation présente un risque pour leurs droits et libertés.
La notification de violation de données à l’autorité de contrôle
Pour informer correctement l’autorité de contrôle (en France, la CNIL), le responsable du traitement des données doit lui faire parvenir un certain nombre d’éléments. Il faut cependant noter que lorsque les violations n’entrainent pas de risques pour les droits et les libertés des utilisateurs, la notification de violation auprès de la CNIL n’est pas obligatoire.
Dans le cas contraire, le responsable du traitement doit tout d’abord spécifier la nature de la violation. Accident ? Acte illicite ? L’autorité de contrôle doit avoir connaissance des éléments entourant la violation. Il faut également mentionner le nombre d’utilisateurs concernés et le volume et la nature des données ciblées. Ces informations peuvent, si les chiffres exacts ne sont pas connus, être approximatives.
Il faut ensuite transmettre à la CNIL le nom du DPO ou de la personne compétente pour fournir de plus amples informations au sujet de la violation. Les conséquences probables de la violation doivent être mentionnées, ainsi que les mesures prises par le responsable pour y faire face. En fonction du caractère et de la gravité de la violation, la structure peut aussi avoir l’obligation d’envisager des mesures pour prévenir de nouvelles violations.
Si le responsable ne dispose pas de toutes ces informations, il peut les transmettre à la CNIL au fur et à mesure de son investigation. Il doit en revanche documenter sa procédure de notification de violation afin de prouver, si besoin, qu’elle a été respectée.
La notification aux personnes concernées
Dans ce cadre de ce qui s’appelle le devoir d’information, la structure doit aussi informer les utilisateurs de la violation de leurs données personnelles. Tout comme pour la CNIL, cette obligation ne vaut que lorsque la violation présente un risque pour les droits et libertés de l’utilisateur.
La notification adressée à l’utilisateur contient généralement les mêmes données que celles transmises à l’autorité de contrôle. L’utilisateur a donc connaissance de la nature de la violation, des conséquences de celle-ci et des dispositions prises par la structure pour faire face à ces conséquences. La structure se doit aussi de transmettre les coordonnées du responsable de traitement ou de son DPO aux utilisateurs concernés afin qu’il puisse répondre à leurs questions.
Pour rédiger une notification type de violation de données personnelles, le plus simple est de faire appel à un professionnel. Celui-ci pourra vous apporter des conseils techniques et juridiques qui vous garantiront d’effectuer vos notifications dans les règles de l’art, en toute conformité avec le RGPD.