Oui, il est nécessaire d’avertir les autorités lorsque des données à caractère personnel ont été rendues publiques, sauf si cette violation n’entraine pas de conséquences pour les personnes concernées.

Lorsqu’un incident se produit sur des données personnelles, c’est-à-dire lorsque les données ont été accidentellement ou frauduleusement rendues publiques par exemple, le RGPD[1] demande à l’entreprise en charge du traitement des données d’informer l’autorité de contrôle, c’est-à-dire la CNIL[2] pour la France. Cette obligation ne s’applique cependant pas « si la violation en question [n’est] pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente […] à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. »

— RGPD, article 33-1, Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Le responsable du traitement doit donc juger au cas par cas, si une déclaration auprès de la CNIL doit être réalisée en fonction des conséquences de l’incident sur les personnes dont les données ont été divulguées. Dans le doute, il est probablement préfarable de réaliser une déclaration, car une absence de déclaration peut être sanctionnée, mais pas l’inverse.

Il est aussi important de préciser que cette déclaration doit être réalisée par l’entreprise même si les services de la Commission ont pris connaissance de l’incident par d’autres moyens, suite à des articles de presse ou des informations disponibles sur les réseaux par exemple.

« La [CNIL] considère que le responsable de traitement doit, en toute circonstance, respecter l’exigence de notification […] à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance de [la société] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation. »

De nombreuses entreprises ont été sanctionnées pour n’avoir pas jugé utile ou pour ne pas avoir déclarer une violation de données, notamment :

  • les magasins Carrefour, car la société n’avait pas déclaré une attaque informatique ayant conduit à un accès frauduleux au compte de ses 275 clients[3] ;
  • Un médecin d’un laboratoire d’analyses, car le médecin n’avait pas déclaré la divulgation de 5 300 images médicales de ses patients, et ce même si cette violation avait été indiquée au médecin par la CNIL[4].

Par ailleurs, lorsqu’une déclaration est jugée nécessaire, celle-ci doit intervenir « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Voir « Quand doit-on déclarer la perte ou la divulgation de données à caractère personnel aux autorités ? ».

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La société Carrefour France a été sanctionnée par la CNIL, car la société n’avait pas déclaré une attaque informatique ayant conduit à un accès frauduleux au compte de ses 275 clients (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  4. Un médecin d’un laboratoire a été sanctionné par la CNIL, car il n’avait pas déclaré la divulgation de 5 300 images médicales de ses patients (source : CNIL, SAN-2020-015, 7 décembre 2020). Voir « Un médecin d’un laboratoire d’analyses médicales sanctionné pour n’avoir pas sécurisé les données médicales de ses patients ».