Lorsque des données à caractère personnel ont été volées ou divulguées, le RGPD[1] demande à l’entreprise en charge du traitement de faire une déclaration auprès de l’autorité de contrôle, c’est-à-dire la CNIL[2] pour la France, dans les meilleurs délais, au plus tard 72 heures après avoir pris connaissance de l’incident.

« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente […], dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. »

— RGPD, article 33-1, Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Une entreprise est considérée avoir pris connaissance de l’incident lorsqu’elle a « un degré de certitude raisonnable qu’une violation a eu lieu ».

« Une fois que le responsable du traitement a établi, avec un degré de certitude raisonnable, qu’une violation a eu lieu, […], il doit alors la notifier à l’autorité de contrôle dans les meilleurs délais et, si possible, dans les 72 heures. »

Le fait que l’incident intervienne chez un sous-traitant de l’entreprise ne donne un pas délai supplémentaire, car les sous-traitants ont l’obligation d’informer l’entreprise « dans les meilleurs délais » :

« Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. »

— RGPD, article 33-2, Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Si la déclaration n’a pas été faite dans les temps, l’entreprise doit communiquer les raisons qui ont conduit à ce retard.

« Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »

— RGPD, article 33-1, Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Même justifiée, la déclaration tardive d’un incident peut être sanctionnée[3] par l’autorité de contrôle. Twitter a, par exemple, déjà été sanctionnée pour avoir déclaré un incident avec 2 jours de retard[4], tout comme Booking.com, qui a été sanctionnée pour avoir déclaré un incident avec 22 jours de retard[5]. Dans les deux cas, la problématique principale était de savoir quelle date devait être considérée comme le point de départ du délai de 72 heures.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. En cas de non-respect du RGPD, comme une déclaration tardive d’un incident, l’autorité de contrôle peut sanctionner l’entreprise. Voir « Que risque-t-on en cas de non-respect du RGPD ? ».
  4. La société Twitter a été sanctionnée par l’autorité de contrôle irlandaise pour avoir déclaré la divulgation accidentelle de données à caractère personnelle avec 2 jours de retard (source : Data Protection Commission, 15 décembre 2020, Twitter). Voir « TWITTER sanctionné pour avoir déclaré tardivement la divulgation de données personnelles ».
  5. La société Booking a été sanctionnée par l’autorité de contrôle néerlandaise pour avoir déclaré la divulgation de données à caractère personnelle avec 22 jours de retard (source : AP, 12 décembre 2020, Booking). Voir « BOOKING.COM sanctionné pour avoir déclaré tardivement la divulgation de données personnelles ».