Faut-il informer les personnes suite à violation de données ?

Oui, il est préférable d’avertir les personnes lorsque leurs données à caractère personnel ont été rendues publiques, même si n’est pas toujours une obligation aux yeux du RGPD.

Lorsqu’un incident se produit sur des données personnelles, c’est-à-dire lorsque les données ont été accidentellement ou frauduleusement rendues publiques par exemple, l’entreprise en charge du traitement des données doit informer les personnes si elle estime que cela « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne ».

« Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. »

Le texte ne précise pas ce qui engendre un risque elevé. Chaque responsable de traitement doit juger au cas par cas, en fonction des circonstances de l’incident et de ses conséquences. Il n’y a cependant pas de mal à informer les personnes même si l’on juge le risque faible. Au contraire, cela permet aux personnes d’être conscient qu’un événement peut éventuellement les affecter. L’esprit fondamental du RGPD étant la transparence, cela devrait même être recommandé.

Dans le doute, il vaut donc mieux informer les personnes. Cela évite des erreurs de jugement et évite une éventuelle sanction de la CNIL, l’organisme de contrôle français.

Des entreprises ont déjà été sanctionnées pour n’avoir pas jugé nécessaire d’informer les personnes suite à un incident sur leurs données personnelles. La CNIL a, par exemple, sanctionné l’établissement de paiement SLIMPAY pour n’avoir pas informé les personnes suite à la divulgation de leurs coordonnées postales, électroniques et bancaires^[1].