Lorsque des données à caractère personnel ont été rendues publiques, des explications doivent être envoyées, individuellement, à chaque personne. Si cela n’est pas possible, une communication publique doit être réalisée.

Si l’entreprise décide d’informer les personnes suite à un incident, soit par choix, soit par obligation[1], le RGPD[2] demande que chaque personne soit avertie individuellement, sauf si cela est impossible ou si cela « exigerait des efforts disproportionnés ». Une communication publique doit alors être réalisée.

« La communication à la personne concernée […] n’est pas nécessaire si […] elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. »

— RGPD, article 34-3-c, Communication à la personne concernée d’une violation de données à caractère personnel

Les textes ne précisent pas ce que représentent des « efforts disproportionnés ». Lorsque l’adresse e-mail des personnes concernées est connue, il n’y a pas de raison de pas envoyer une campagne d’e-mails. Dans le cas contraire, une communication publique peut être faite, par exemple, en ajoutant une information sur le site de l’entreprise, en publiant un communiqué ou par le biais d’un journal d’informations populaire.

Concernant l’ajout d’un bandeau d’informations sur le site de l’entreprise, il est intéressant de noter que, selon la CNIL[3], cela est une mesure pertinente même si le site n’est pas nécessairement consulté par les personnes concernées, car les journaux ou la toile relaient généralement l’information, surtout si l’incident est conséquent.

« la [CNIL] observe que l’information relative à une violation de données [d’une grande] ampleur peut être reprise sur le web (réseaux sociaux, journaux et sites spécialisés, etc.). Une communication publique sur le site web de l’organisme peut ainsi être un point de départ et l’information peut prendre ensuite une dimension bien plus importante »

Si une communication publique est effectuée alors que les personnes auraient pu être informées individuellement, la CNIL, autorité de contrôle française, peut émettre une sanction. L’établissement de paiement SLIMPAY a, par exemple, déjà été sanctionné pour avoir pour n’avoir pas informé les personnes individuellement, par e-mail, suite à la divulgation de leurs bancaires, alors que la société possédait l’adresse e-mail de la moitié des personnes concernées[4].

Notes et références

  1. Le RGPD demande aux responsables de traitement d’avertir les personnes lorsque leurs données à caractère personnel ont été divulguées uniquement si cela « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne » (source : RGPD, article 34-1). Voir « Faut-il informer les personnes suite à violation de données ? ».
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. La société SLIMPAY a été sanctionnée par la CNIL pour avoir notamment décidé de ne pas avertir les personnes suite à une violation de leurs données personnelles (source : CNIL, SAN-2020-020, 28 décembre 2021, SLIMPAY). Voir « La société SLIMPAY sanctionnée pour n’avoir pas sécurisé les données bancaires de ses clients ».