5. Notification des violations de données
5.1. Définition
Une violation de données personnelles est une atteinte à la sécurité entraînant :
- la destruction,
- la perte,
- l’altération,
- la divulgation non autorisée,
- ou l’accès non autorisé à des données.
5.2. Notification à la CNIL
Le responsable de traitement doit notifier dans les 72 heures après en avoir eu connaissance, sauf si la violation est improbable d’engendrer un risque.
La notification inclut :
- la nature de la violation,
- les catégories concernées,
- les mesures correctives,
- les conséquences probables.
Danger
Risque critique ou négligence grave
L’absence de notification en cas de risque constitue une violation du RGPD.
5.3. Information des personnes concernées
Si la violation est susceptible d’engendrer un risque élevé, les personnes concernées doivent être informées dans les meilleurs délais, avec :
- nature de la violation,
- conséquences,
- coordonnées du DPO ou point de contact,
- mesures prises.
5.4. Registre des violations
Un registre interne des violations doit être tenu, même si la CNIL n’a pas été notifiée.
5.5. Exemples concrets
| Scénario | Notification CNIL | Information personnes |
|---|---|---|
| Perte d’un PC non chiffré contenant des données patients | ✅ | ✅ |
| Intrusion dans une base clients avec accès aux emails | ✅ | ✅ |
| Perte d’une clé USB chiffrée, sans données sensibles | ❌ | ❌ |
Failure
Erreur fréquente
Attendre la fin d’une enquête technique avant de notifier est un risque juridique.