[RGPD] Faut-il informer l’individu d’une violation des données ?

Le Règlement général relatif à la protection des données (RGPD) entrera en vigueur dans 3 jours. De nombreuses questions sont encore présentes chez les entreprises qui devront être conformes dès le 25 mai 2018. Nous avons déjà expliqué les grands points clefs du RGPD à travers de nombreux articles, mais un sujet reste à traiter : celui de l’information des individus en cas de violation de leurs données personnelles. 

Des mesures spécifiques sont prévues par le Règlement et à la question de savoir si une violation doit toujours être révélée aux individus concernés, 76% des répondants à nos questionnaires sont dans l’erreur. Qu’en est-il vraiment ? 

Profitez de notre vente flash exceptionnelle sur notre dossier spécial “RGPD : les bons conseils pour réussir” au prix de 49,99 € H.T. seulement au lieu de 149,99 € H.T. 

 

RGPD : la violation des données peut ne pas être signalée aux individus

Les dispositions du RGPD concernant la communication d’une violation des données aux personnes concernées sont situées à son article 34

Dès le premier paragraphe de l’article, on détecte un critère déterminant : pour qu’il y ait information de l’individu, il faut que la violation soit “susceptible d’engendrer un risque élevé pour les droits et libertés” de cette personne physique. En d’autres termes, si un tel risque élevé n’est pas caractérisé, le responsable du traitement n’a pas à signaler la violation des données personnelles à l’individu. 

Comment savoir si un tel risque existe ou est évité ? Le RGPD donne trois conditions, non cumulatives, qui doivent être remplies pour que le risque élevé sur les droits et libertés de l’individu ne soit pas caractérisé. La première est la mise en place par le responsable du traitement de mesures de chiffrement des données qui les rend incompréhensibles pour toute personne non autorisée à y avoir accès. La deuxième est la prise de mesure par le responsable du traitement permettant de garantir que le risque ne peut plus se matérialiser. La troisième condition vise le cas où la communication à la personne concernée exigerait des efforts disproportionnés : le RGPD indique alors que c’est une communication publique “permettant aux personnes concernées d’être informées de manière tout aussi efficace” qui doit être faite. 

Le Règlement souligne également qu’en cas de communication à l’individu, il est nécessaire que les explications concernant la violation soient claires, simples et contiennent plusieurs informations telles que le nom et les coordonnées du délégué à la protection des données, les conséquences probables de la violation des données, ainsi que les mesures prises ou à prendre pour remédier à cette violation. 

Enfin, le RGPD précise que la CNIL peut demander au responsable du traitement, s’il ne l’a pas déjà fait, de communiquer la violation des données à caractère personnel à la personne concernée. La CNIL peut aussi constater que les conditions d’exonération de cette communication sont remplies. 

La question de l’information de l’individu sur la violation de ses données personnelles n’est donc pas si simple. Le responsable du traitement a finalement tout intérêt à s’assurer que les données qu’il traite font l’objet d’un chiffrement adéquat afin de répondre à la première condition d’exonération possible. 

 

Approfondissez votre connaissance du RGPD

Pour en apprendre plus et savoir si vous êtes prêts à faire face au RGPD, répondez à nos questionnaires en ligne. Le premier défriche les notions de base de la protection des données, le second aborde des détails moins évidents et parfois propices à piéger les responsables de traitement de données personnelles. Cliquez ici pour y accéder

N’hésitez pas à réclamer ici votre guide complet “RGPD : les bons conseils pour réussir” qui vous donne toutes les clefs théoriques et pratiques sur plus de 150 pages !  

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer

Avis d’extension d’un accord territorial dans la métallurgie (Seine-et-Marne)

La ministre du travail, de la santé, des solidarités et des familles, envisage d’étendre, par avis publié le 24 avril 2025, les dispositions de l’avenant territorial (Seine-et-Marne) du 10 mars 2025 à l'accord autonome du 19 avril 2022 relatif à la mise en place d'une indemnité de repas de jour, conclu dans  le cadre de la convention collective nationale de la métallurgie (...

Avis d’extension d’avenants dans la CCN de l’import-export

La ministre du travail, de la santé, des solidarités et des familles, envisage d’étendre, par avis publié le 24 avril 2025, les dispositions de l’avenant du 27 mars 2025 relatif à la modification des articles 4, 6, 7 et 7 bis de la convention collective et de l'avenant n° 4 du 27 mars 2025 à l'accord du 22 juin 2009 relatif à la création de dispositifs d'épargne salariale, conclus dans  le cadre de la convention collective nationale des...
bureaux d'études
Lire plus

Prévoyance : les actions HDS 2025 des bureaux d’études

Les régimes conventionnels de protection sociale complémentaire qui couvrent les quelque 1 400 000 salariés des bureaux d’études techniques et sociétés de conseils comptent parmi ceux dont l’actualité intéresse assez largement du côté des acteurs et observateurs du monde de la protection sociale collective. ...