Suite à l’incendie du 10 mars 2021 dans un centre de données d’OVH à Strasbourg, la CNIL a rappelé l’importance de notifier les violations de données personnelles. Selon l’article 33 du RGPD, les responsables de traitement doivent informer la CNIL en cas de violation susceptible d’engendrer un risque élevé pour les droits des personnes. La destruction de données, qu’elle soit accidentelle ou non, constitue une violation. Les responsables doivent documenter les faits, les effets et les mesures prises, et notifier la CNIL dans les 72 heures suivant la constatation de la violation.. Consulter la source documentaire.

Quelles sont les obligations de notification en cas de violation de données personnelles ?

Les obligations de notification en cas de violation de données personnelles sont stipulées dans le règlement général sur la protection des données (RGPD), notamment à l’article 33.

Cet article impose aux responsables de traitement de notifier à la CNIL toute violation de données à caractère personnel.

Cette notification est requise lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

En cas de violation, il est également nécessaire de documenter les faits, les effets et les mesures prises pour remédier à la situation dans un registre interne.

Quelles sont les conséquences d’une destruction de données personnelles ?

La destruction de données personnelles, qu’elle soit temporaire ou définitive, est considérée comme une violation de données au sens du RGPD.

Cela inclut également les destructions accidentelles. Les responsables de traitement doivent donc être vigilants et documenter toute violation survenue.

Cette documentation doit inclure la nature de la violation, les catégories de personnes concernées, ainsi que les conséquences probables de la violation.

Les mesures prises pour éviter la récurrence de l’incident doivent également être décrites dans le registre interne.

Dans quels cas une notification à la CNIL n’est-elle pas nécessaire ?

Il existe des situations où la notification à la CNIL n’est pas requise.

Par exemple, si un plan de reprise d’activité (PRA) ou un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service, la notification n’est pas nécessaire.

De même, si les données ont été restaurées à partir de sauvegardes sans conséquences significatives pour les personnes, la notification peut être omise.

Ces exceptions visent à alléger les obligations en cas de violations mineures.

Quels sont les cas où une notification à la CNIL est nécessaire ?

Une notification à la CNIL est impérativement requise dans plusieurs cas.

Premièrement, si des données personnelles ont été définitivement perdues, cela nécessite une notification.

Deuxièmement, si les données sont restées indisponibles suffisamment longtemps pour engendrer un risque pour les personnes, la notification est également obligatoire.

Il est crucial d’évaluer le niveau de risque en tenant compte du type de données concernées et des conséquences potentielles de la violation.

Comment procéder à la notification d’une violation de données à la CNIL ?

Pour notifier une violation de données à la CNIL, il est essentiel de le faire dans les meilleurs délais après la constatation de la violation.

Si toutes les informations requises ne peuvent pas être fournies immédiatement, une notification en deux temps est possible.

Cela implique une notification initiale dans un délai de 72 heures, suivie d’une notification complémentaire lorsque des informations supplémentaires sont disponibles.

La CNIL a mis en place un téléservice dédié pour faciliter cette procédure pour les responsables de traitement.

Dès réception, la CNIL instruira la notification et pourra clôturer la procédure si les conditions sont remplies.