Le Règlement général relatif à la protection des données (RGPD) entrera en vigueur dans 3 jours. De nombreuses questions sont encore présentes chez les entreprises qui devront être conformes dès le 25 mai 2018. Nous avons déjà expliqué les grands points clefs du RGPD à travers de nombreux articles, mais un sujet reste à traiter : celui de l’information des individus en cas de violation de leurs données personnelles.
Des mesures spécifiques sont prévues par le Règlement et à la question de savoir si une violation doit toujours être révélée aux individus concernés, 76% des répondants à nos questionnaires sont dans l’erreur. Qu’en est-il vraiment ?
Profitez de notre vente flash exceptionnelle sur notre dossier spécial « RGPD : les bons conseils pour réussir » au prix de 49,99 € H.T. seulement au lieu de 149,99 € H.T.
RGPD : la violation des données peut ne pas être signalée aux individus
Les dispositions du RGPD concernant la communication d’une violation des données aux personnes concernées sont situées à son article 34.
Dès le premier paragraphe de l’article, on détecte un critère déterminant : pour qu’il y ait information de l’individu, il faut que la violation soit « susceptible d’engendrer un risque élevé pour les droits et libertés » de cette personne physique. En d’autres termes, si un tel risque élevé n’est pas caractérisé, le responsable du traitement n’a pas à signaler la violation des données personnelles à l’individu.
Comment savoir si un tel risque existe ou est évité ? Le RGPD donne trois conditions, non cumulatives, qui doivent être remplies pour que le risque élevé sur les droits et libertés de l’individu ne soit pas caractérisé. La première est la mise en place par le responsable du traitement de mesures de chiffrement des données qui les rend incompréhensibles pour toute personne non autorisée à y avoir accès. La deuxième est la prise de mesure par le responsable du traitement permettant de garantir que le risque ne peut plus se matérialiser. La troisième condition vise le cas où la communication à la personne concernée exigerait des efforts disproportionnés : le RGPD indique alors que c’est une communication publique « permettant aux personnes concernées d’être informées de manière tout aussi efficace » qui doit être faite.
Le Règlement souligne également qu’en cas de communication à l’individu, il est nécessaire que les explications concernant la violation soient claires, simples et contiennent plusieurs informations telles que le nom et les coordonnées du délégué à la protection des données, les conséquences probables de la violation des données, ainsi que les mesures prises ou à prendre pour remédier à cette violation.
Enfin, le RGPD précise que la CNIL peut demander au responsable du traitement, s’il ne l’a pas déjà fait, de communiquer la violation des données à caractère personnel à la personne concernée. La CNIL peut aussi constater que les conditions d’exonération de cette communication sont remplies.
La question de l’information de l’individu sur la violation de ses données personnelles n’est donc pas si simple. Le responsable du traitement a finalement tout intérêt à s’assurer que les données qu’il traite font l’objet d’un chiffrement adéquat afin de répondre à la première condition d’exonération possible.
Approfondissez votre connaissance du RGPD
Pour en apprendre plus et savoir si vous êtes prêts à faire face au RGPD, répondez à nos questionnaires en ligne. Le premier défriche les notions de base de la protection des données, le second aborde des détails moins évidents et parfois propices à piéger les responsables de traitement de données personnelles. Cliquez ici pour y accéder.
N’hésitez pas à réclamer ici votre guide complet « RGPD : les bons conseils pour réussir » qui vous donne toutes les clefs théoriques et pratiques sur plus de 150 pages !
