Violation de données : faut-il tout déclarer?

L’article 33 du RGPD dispose qu’en “cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l’autorité de contrôle compétente …dans les meilleurs délais….à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques“.

La notification des violations de données à l’autorité de contrôle est ainsi le principe, l’exception étant l’absence de notification si la violation n’engendre aucun risque pour les droits et libertés des personnes concernées.

La notion de risque pour les droits et libertés des personnes concernées est notamment précisée au considérant 75 du RGPD. Le risque peut ainsi résulter d’un traitement susceptible “d’entraîner des dommages physiques, matériels ou un préjudice moral” et en particulier “une discrimi­nation, un vol ou une usurpation d’identité, une perte financière, une atteinte à la réputation …ou tout autre dommage économique ou social important“.

Or, rares sont les violations de données non susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées. Dès lors, au vu de leur occurrence élevée (ex : perte d’une clef USB non cryptée contenant des données personnelles) de nombreuses entreprises et organismes devraient avoir déclaré des violations de données à la CNIL.

S’il est vrai qu’une telle déclaration est de nature à déclencher un contrôle, il est raisonnable de considérer que l’absence de toute déclaration pourrait en déclencher également : c’est un indice d’absence de prise en compte des obligations issues du RGPD. A chaque entreprise d’entreprendre de changer ses pratiques, et dans une logique de responsabilité, de ne pas omettre d’alerter l’autorité de contrôle en cas de violation de données.

Cela implique d’avoir mis en place les outils internes permettant de respecter les délais impartis (72 heures à compter de la prise de connaissance de la violation, un retard devant être justifié) et d’avoir conscience que déclarer les violations de données n’est pas nécessairement le signe d’une non conformité, au contraire.