Depuis le 25 mai 2018, les organisations sont tenues de signaler à l'Autorité de protection des données les violations de données à caractère personnel qui présentent un risque pour la personne concernée.

Le formulaire électronique devant servir à la notification des fuites de données est entretemps disponible sur le site Internet de l'Autorité de protection des données.

ATTENTION :

L'Autorité de protection des données n'enregistrera pas comme une notification de fuite de données les notifications qui n'auront pas été introduites au moyen de ce formulaire. Au mieux, elle en prendra acte comme d'une question ou d'une plainte. Il est donc important d'utiliser ce formulaire en cas de fuite de données. Les notifications par e-mail ne suffisent pas.

Si elles ne respectent pas leur obligation de notification, les organisations sont en effet passibles d'une amende qui viendra s'ajouter à celle qu'elles se verront infliger pour la fuite de données proprement dite.

Pour rappel : obligation de notification en cas de fuite de données

Le RGPD définit comme suit une fuite de données :

 « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Un e-mail contenant des données à caractère personnel qui serait adressé au mauvais destinataire constitue donc par exemple déjà une fuite de données.

Depuis le 25 mai 2018, les organisations doivent notifier les fuites de données à l'Autorité de protection des données. Dans certains cas, elles doivent aussi notifier la fuite de données aux personnes concernées (les personnes dont les données à caractère personnel ont fait l'objet d'une fuite).

Notification à l'Autorité de protection des données

Le responsable du traitement doit notifier une violation de données à caractère personnel à l'Autorité de protection des données, si possible dans les 72 heures. Il n'y a que dans le cas où la violation n'induit probablement aucun risque pour le respect de la vie privée de personnes physiques que le responsable du traitement n'est pas tenu de la notifier. Cela est à évaluer au cas par cas.

Le sous-traitant doit notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. Il doit documenter toutes les violations liées aux données à caractère personnel, y compris les faits concernant la violation, ses conséquences et les mesures prises pour y remédier.

Notification à la personne concernée

En outre, le responsable du traitement doit également notifier la violation à la personne concernée lorsque celle-ci est susceptible d'engendrer un risque élevé pour le respect de la vie privée de la personne concernée, sauf si l'une des conditions suivantes est remplie :

• le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement ;
• le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé n’est plus susceptible de se matérialiser ;
• la communication exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière aussi efficace.

Cela dit, il reste bien entendu essentiel de prévenir autant que possible les fuites de données.