Lexique > Violation de données

Lexique IT

Violation de données

Une violation de données à caractère personnel est constituée par une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès à de telles données.

Une violation de données à caractère personnel peut causer des dommages physiques, matériels ou un préjudice moral aux personnes concernées.

Les conséquences potentielles sont ainsi nombreuses :

  • Perte de contrôle sur les données ;
  • Limitation des droits des personnes concernées ;
  • Discrimination,
  • Vol ou usurpation d’identité ;
  • Perte financière directe ou indirecte ;
  • Atteinte à la réputation ;
  • Perte de confidentialité de données protégées par le secret professionnel…

Ainsi, toute violation de données dont le responsable du traitement a connaissance doit être notifiée à l’autorité de contrôle compétente dans les meilleurs délais, et en tout état de cause sous soixante-douze heures après sa découverte, à moins qu’il ne puisse démontrer qu’il est peu probable que la violation puisse raisonnablement engendrer un risque pour les droits et libertés des personnes physiques concernées.

L’autorité de contrôle peut alors être amenée à intervenir conformément à ses missions et à ses pouvoirs, notamment en sollicitant d’avantage d’informations par le responsable du traitement ou en mettant en œuvre une procédure de contrôle.

La responsable du traitement devra également communiquer ladite violation de données directement aux personnes concernées dans les meilleurs délais lorsqu’il considère que la violation est raisonnablement susceptible d’engendrer un risque élevé pour leurs droits et libertés.

Le cas échéant, l’autorité de contrôle dispose du pouvoir d’ordonner au responsable du traitement de communiquer à la personne concernées une violation de données à caractère personnel.

La nécessité d’atténuer un risque immédiat de dommage pourrait justifier d’adresser rapidement une communication aux personnes concernées, alors que la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données à caractère personnel ou la survenance de violations similaires peut justifier un délai plus long pour la communication.

Point RGPD

« La notification visée au paragraphe 1 (i.e. la notification à l’autorité de contrôle d’une violation de données à caractère personnel) doit, à tout le moins :

  • décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
  • communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  • décrire les conséquences probables de la violation de données à caractère personnel;
  • décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.» 

Article 33, paragraphe 3, du RGPD

Point jurisprudence

L’autorité de contrôle Néerlandaise a sanctionné la société BOOKING.COM BV au paiement d’une amende de 475 000€ en raison d’un retard dans la notification d’une violation de données. L’autorité précise que « une enquête sur la portée et le bien-fondé exact d’une violation peut prendre plus de 72 heures. Etant donné qu’il n’est pas toujours possible d’obtenir toutes les informations nécessaires sur une violation afin d’effectuer une notification répondant à toutes les exigences de l’article 33 […], la possibilité d’effectuer une notification par étapes est possible. » 

Autoriteit Persoonsgegevens, 10 décembre 2020

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.