Notifier une violation de données personnelles


La transposition en droit français des directives " Paquet télécom " impose aux fournisseurs de services de communications électroniques de notifier les violations de données personnelles à la CNIL et, dans certains cas, aux personnes concernées. Actuellement, cette obligation de notification s'impose uniquement aux fournisseurs de services devant être déclarés auprès de l'ARCEP.

Quel est le cadre légal ?

L'obligation de notifier à la CNIL les violations de données à caractère personnel est prévue à Article 34 bis de la loi 78-17 du 6 janvier 1978 modifiée. Elle concerne uniquement les fournisseurs de services de communications électroniques au public, tels que définis par l'article L. 33-1 du code des postes et des communications électroniques  (exemples : Fournisseurs d'accès à Internet, opérateurs de téléphonie fixe ou mobile)

>Consulter la liste des opérateurs déclarés auprès de l'ARCEP.

Qu'est-ce qu'une violation de données à caractère personnel ?

Pour qu'il y ait violation, 3 conditions doivent être réunies :

  1. Vous avez mis en œuvre un traitement de données personnelles.
  2. Ces données ont fait l’objet d'une violation (destruction, perte, altération, divulgation ou un accès non autorisé à des données personnelles, de manière accidentelle ou illicite).
  3. Cette violation est intervenue dans le cadre de votre activité de fourniture de services de communications électroniques(par exemple, lors de la fourniture de votre service de téléphonie ou d'accès à d'internet).

Quand notifier ?

La notification doit être transmise à la CNIL dans les 24h de la constatation de la violation.

Si vous ne pouvez pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, vous pouvez procéder à une notification en deux temps :

  1. Une notification initiale dans les 24 heures de la constatation de la violation ; 
  2. Puis, une notification complémentaire dans le délai de 72 heures après la notification initiale.

Comment notifier ?

 
Sauvegardez le formulaire sur votre poste de travail. Il vous servira à procéder à la notification complémentaire si vous choisissez de réaliser une notification en deux temps.

Complétez le formulaire et Renvoyez-le à la CNIL 

Vous pouvez utiliser le formulaire de dépôt en ligne ou renvoyer le formulaire par voie postale.

Si vous avez fait une notification initiale dans les 24 heures de la constatation de la violation, adressez la notification complémentaire dans les 72 heures de la notification initiale.


Que va faire la CNIL ?

Dès réception, la CNIL va instruire la notification. La procédure relative à la violation notifiée pourra être clôturée si la CNIL constate que :

  • La violation ne porte pas atteinte aux données personnelles ou à la vie privée des personnes (pour vous permettre d'auto-évaluer le niveau de gravité de la violation, la CNIL met à votre disposition un outil d'analyse).
  • Vous avez correctement informé les personnes concernées.
  • Vous avez mis en place, préalablement à la violation, des mesures techniques de protection appropriées.

La CNIL pourra vous imposer d'informer les personnes concernées si elle constate que :

  • Vous ne les avez pas correctement informées.
  • Les mesures techniques de protection que vous avez mises en place préalablement à la violation ne sont pas appropriées.

La CNIL dispose d'un délai de 2 mois pour vérifier le caractère approprié ou non de ces mesures techniques. En l'absence de retour de la CNIL dans ce délai, vous devrez considérer que les mesures ne sont pas appropriées et vous devrez immédiatement informer les personnes de la violation.

Les mots clés associés à cet article