Qu’est-ce que le droit à la notification ?
Le droit à la notification permet à une personne de notifier une violation de données personnelles. Deux conditions réunies montrent qu’il y a violation : le fait de mettre en œuvre un traitement de données personnelles et que ces données ont dû faire l’objet d’une violation.
Violation de données : Quoi, Quand et Comment ?
Il y a violation de données personnelles dès lors qu’il y a une destruction ou une perte, l’altération ou la divulgation non autorisée de données.
Le responsable de traitement de données à caractère personnel doit notifier la violation de celles-ci à l’autorité compétente dans les meilleurs délais. La violation de données qui n’engendre pas de risque pour les droits et libertés des personnes physiques concernées n’a pas à être notifiée à la CNIL.
La notification de violation de données n’est pas pour autant obligatoire lorsque cela n’engendre pas un risque pour les droits et libertés des personnes physiques. Il n’y a donc pas besoin de la notifier. Par ailleurs, la notification est possible si la confidentialité des données est compromise, notamment du fait de la vulnérabilité d’un logiciel de cryptage où se trouvent les données par exemple.
Pour notifier une violation de données, cela peut se faire par échelonnement, car il peut être difficile de fournir toutes les informations en même temps selon la demande.
Délai de notification
La notification de violation des données s’effectue en deux temps . D’abord, il faut transmettre la notification à la CNIL. Si cette même notification dépasse un délai de 72h à la suite de la constatation de violation, dépassé ce délai, il faut expliquer les motifs de retard, puis, viens ensuite, une notification complémentaire quand les informations complémentaires sont disponibles.
Pour notifier une violation, il suffit de déposer une plainte à la CNIL en utilisant le téléservice de plaintes en ligne. La clôture de la procédure pourra être effectuée une fois que la CNIL aura constaté que la violation ne porte pas atteinte aux données personnelles ou ne présente pas de risque pour les droits et libertés des personnes, que les personnes concernées ont été informées et que des mesures techniques de protection ont été mises en place.
Prise de connaissance de la violation
Dès que le responsable du traitement de données est informé de l’incident de sécurité, il doit mener une enquête afin de déterminer les caractéristiques de cet incident. Pendant cette enquête, le responsable du traitement des données n’est pas encore considéré comme ayant pris connaissance de la violation. Cette brève enquête doit être menée le plus tôt possible afin de déterminer s’il y a violation ou non pour ensuite mener une enquête plus détaillée.
La violation doit être communiquée aux personnes qui sont directement concernées et le responsable du traitement des données devra procéder à une communication publique ou d’une manière à ce que les personnes concernées soient informées de manière efficace.
Mesures contre la violation de données personnelles
Les organismes qui traitent les données personnelles se doivent de mettre en place un certain nombre de mesures afin d’éviter, de prévenir et d’avoir la meilleure réaction face aux violations de données personnelles afin d’éviter de causer des dommages aux acteurs concernés par ces données. Ces mesures ont pour but de préserver les responsables du traitement de données et les personnes affectées par la violation de données.
Les mesures qui doivent êtres prises afin d’éviter une violation de données personnelles peuvent être le fait de distinguer les incidents de sécurité qui constituent une violation de données, d’établir le degré de gravité d’une violation de données à caractère personnel, de mettre en pace des mesures techniques et organisationnelles, d’informer l’autorité de contrôle, de documenter la violation et d’améliorer les processus internes à l’issue de la violation.