Oui, les autorités doivent êtres averties lorsque des données à caractère personnel ont été rendues publiques, sauf si cette violation de données n’entraine pas de conséquences pour les personnes concernées.

Lorsqu’un incident se produit sur des données personnelles, par exemple lorsque les données ont été accidentellement ou frauduleusement rendues publiques, le RGPD demande à l’entreprise en charge du traitement des données d’informer l’autorité de contrôle, c’est-à-dire la CNIL pour la France. Cette obligation ne s’applique cependant pas « si la violation en question [n’est] pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente […] à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. »

— RGPD, article 33-1, Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Le responsable du traitement doit donc juger au cas par cas si une déclaration auprès de la CNIL doit être réalisée en fonction des conséquences de l’incident sur les personnes dont les données ont été divulguées. Cela dit, il est probablement préférable de réaliser une déclaration, car une absence de déclaration peut être sanctionnée, mais pas l’inverse.

Il est aussi important de noter que le Conseil d’État s’est déjà exprimé sur l’obligation de déclaration et a considéré qu’une déclaration n’était pas nécessaire lorsque l’autorité de contrôle était déjà informée de l’incident et qu’une procédure de contrôle a été engagée sur la base de ces informations :

« l’obligation de notifier à la CNIL une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs. »

Certaines entreprises ont été sanctionnées pour n’avoir pas jugé utile ou pour ne pas avoir déclaré une violation de données, notamment les magasins Carrefour, car la société n’avait pas déclaré une attaque informatique ayant conduit à un accès frauduleux au compte de ses 275 clients[1].

Par ailleurs, lorsqu’une déclaration est jugée nécessaire, celle-ci doit intervenir « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Voir « Quand doit-on déclarer la perte ou la divulgation de données à caractère personnel aux autorités ? ».

Notes et références

  1. La société Carrefour France a été sanctionnée par la CNIL, car la société n’avait pas déclaré une attaque informatique ayant conduit à un accès frauduleux au compte de ses 275 clients (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données