Lorsque des données à caractère personnel ont été rendues publiques, une déclaration auprès des autorités doit être réalisée le plus rapidement possible, au plus tard 72 heures après avoir pris connaissance de l’incident.

Lorsqu’un incident se produit sur des données personnelles, c’est-à-dire lorsque les données ont été accidentellement ou frauduleusement rendues publiques par exemple, le RGPD[1] demande d’avertir, dans certains cas[2], l’autorité de contrôle, c’est-à-dire la CNIL[3] pour la France. Cette déclaration doit être effectuée « dans les meilleurs délais, au plus tard 72 heures après avoir pris connaissance de l’incident ».

« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente […], dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance […] »

— RGPD, article 33-1, Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Une entreprise est considérée « avoir connaissance de l’incident » lorsqu’elle a « un degré de certitude raisonnable qu’une violation a eu lieu ».

« Une fois que le responsable du traitement a établi, avec un degré de certitude raisonnable, qu’une violation a eu lieu, […], il doit alors la notifier à l’autorité de contrôle dans les meilleurs délais et, si possible, dans les 72 heures. »

Aussi, le fait que l’incident intervienne chez un sous-traitant ne donne un pas délai supplémentaire, car les sous-traitants ont l’obligation d’informer l’entreprise « dans les meilleurs délais » :

« Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. »

— RGPD, article 33-2, Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Enfin, si la déclaration n’a pas pu être faite dans les temps, la déclaration doit quand même être réalisée. Les raisons qui ont conduit à ce retard devront toutefois être précisées.

« Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »

— RGPD, article 33-1, Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Même justifiée, la déclaration tardive d’un incident peut être sanctionnée par l’autorité de contrôle. De nombreuses entreprises ont été sanctionnées pour une déclaration tardive, notamment :

  • le réseau social Twitter, car un incident avait été déclaré avec 2 jours de retard[4] ;
  • le site de réservations « Booking.com », car un incident avait été déclaré avec 22 jours de retard[5].

Dans les deux cas, la problématique principale était de savoir quelle date devait être considérée comme le point de départ du délai de 72 heures.

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD demande qu’une déclaration soit effectuée sauf « si la violation en question [n’est] pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » (RGPD, article 33-1). Voir « Faut-il déclarer aux autorités la perte ou la divulgation de données à caractère personnel ».
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. Twitter a été sanctionné par l’autorité de contrôle irlandaise, car un incident avait été déclaré avec 2 jours de retard (source : DPC, 15 décembre 2020, Twitter). Voir « TWITTER sanctionné pour avoir déclaré tardivement la divulgation de données personnelles ».
  5. Le site de réservations « Booking.com » a été sanctionnée par l’autorité de contrôle néerlandaise, car un incident avait été déclaré avec 22 jours de retard (source : AP, 12 décembre 2020, Booking). Voir « BOOKING.COM sanctionné pour avoir déclaré tardivement la divulgation de données personnelles ».