Une fuite de données?
Une violation des données peut avoir des conséquences désastreuses. Surtout lorsque ce problème n’est pas traité à temps et de manière adéquate, la violation peut entraîner des dommages physiques, matériels ou immatériels aux personnes physiques. Il s’agit par exemple de la perte de contrôle de leurs données personnelles ou de la limitation de leurs droits, de la discrimination, de l’usurpation d’identité ou de la fraude, des pertes financières, de l’atteinte à la réputation, de la perte de confidentialité de données personnelles protégées par le secret professionnel, ou de tout autre préjudice économique ou social important pour la personne physique en question.
Notification à l’autorité de surveillance
C’est pourquoi, dès que le responsable du traitement a connaissance d’une violation de données à caractère personnel, il doit la notifier à l’autorité de contrôle sans retard excessif et, si possible, au plus tard 72 heures après en avoir pris connaissance.
Toutefois, lorsque le responsable du traitement peut démontrer, conformément au principe de responsabilité, que cette violation n’est pas susceptible de présenter des risques pour les droits et libertés des personnes physiques, une exemption
à cette obligation de notification peut être accordée. Lorsque cette notification ne peut être effectuée dans les 72 heures, la notification est accompagnée d’une explication du retard et les informations peuvent être fournies par étapes sans retard supplémentaire déraisonnable.
Dans le cas où le sous-traitant a eu connaissance d’une violation
de données à caractère personnel, il en informe le responsable du traitement sans délai déraisonnable.
La notification susmentionnée décrit ou communique au moins les éléments suivants:
Le responsable du traitement doit documenter toutes les violations de données à caractère personnel, y compris les faits entourant la violation de données à caractère personnel, ses effets et les mesures correctives prises. Cette documentation permet à l’autorité de contrôle de vérifier le respect du présent article.
Notification de la personne concernée dont les données ont été divulguées
Si la violation des données à caractère personnel est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement notifie la violation des données à caractère personnel à la personne concernée sans retard excessif. En principe, vous devez d’abord informer les personnes concernées par la violation des données.
Cette notification contiendra une description, dans un langage clair et simple, de la nature de la violation des données à caractère personnel et au moins le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact via lequel de plus amples informations peuvent être obtenues. En outre, la notification comprend une liste des conséquences probables de la violation des données à caractère personnel, ainsi que les
mesures proposées ou prises par le responsable du traitement pour remédier à la violation des données à caractère personnel.
Toutefois, l’avis à la personne concernée n’est pas requis si l’une des conditions suivantes est remplie:
Si le responsable du traitement n’a pas encore notifié la violation de données à caractère personnel à la personne concernée, l’autorité de contrôle peut exiger du responsable du traitement qu’il le fasse.