Article 34
Communication à la personne concernée d'une violation de données à carcatère personnel

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 34 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 34 keyboard_arrow_up

(85) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

(87) Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en oeuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 34.

Le GDPR

Contrairement à la notification à l’autorité de contrôle (cfr. l’article 33), la version finale du Règlement n’oblige le responsable à notifier à la personne concernée que les violations de données susceptibles d’exposer les personnes physiques à un risque élevé (« high risk ») à leurs droits et libertés.

L’article 34 détermine également le contenu de la notification à la personne concernée, qui est d’ailleurs très proche de celui de la notification de l’article 33 auquel il est largement renvoyé (cfr. art 34, § 2). La version finale du Règlement précise à cet égard que la communication doit être effectuée dans un langage clair et simple.

Le délai diverge quelque peu de la notification à l’autorité de contrôle puisque l’article 34 §1er in fine indique seulement qu’il faut y procéder « sans retard injustifié ». L’idée est que les personnes doivent sans retard prendre le cas échéant les mesures qui s’imposent afin de faire cesser ou atténuer les effets négatifs pouvant découler de la violation des données (cfr le considérant 85).

L’article 34 §3 prévoit par contre des exceptions à la notification aux personnes :

- Si le responsable a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et que ces dernières ont été appliquées aux données affectées par ladite violation, en particulier celles qui rendent les données incompréhensibles à toute personne non autorisée, telles que le chiffrement (a) ;

- Ou si le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé au regard des droits et des libertés des personnes concernées n'est plus susceptible de se matérialiser (b) ;

- Ou si elle risque d'entraîner des efforts disproportionnés. Dans ce cas, il convient plutôt de procéder à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace (c).

Initialement, selon la seconde proposition de Règlement, la notification n’était pas nécessaire si elle risquait de porter atteinte à un intérêt public important. Cette exception qui laissait, à notre estime, une trop grande marge de manœuvre au responsable, a toutefois été supprimée dans la version finale du Règlement.

Enfin, la version finale du Règlement ajoute un 4e paragraphe à l’article 34 conférant à l’autorité de contrôle le pouvoir d’exiger du responsable une communication aux personnes concernées, compte tenu de la probabilité que la violation entraine un risque élevé pour les personnes concernées. Cette disposition reconnaît également à l’autorité de contrôle le pouvoir d’apprécier si la notification à la personne concernée est nécessaire, au regard des exceptions prévues à l’article 34, § 3 du Règlement.

La Directive

La Directive ne prévoyait pas d’obligation de notification en cas d’une violation des données à caractère personnel (« data breach »). Par contre, le système était prévu par la Directive 2002/58/CE sur la vie privée et les communications électroniques et coulé dans le Règlement n°611/2013 concernant les mesures relatives à la notification des violations de données à caractère personnel.

Belgique

Le droit belge a implémenté le système de notification d’une violation des données à caractère personnel en matière de communication électronique, à l’article 114/1 de la loi du 13 juin 2005 relative aux communications électroniques. Seules les violations de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier, obligent l'entreprise fournissant des services de communications électroniques accessibles au public à avertir sans délai l'abonné ou le particulier concerné de la violation.

Difficultés probables ?

On peut ici craindre les difficultés générées par la question de l’appréciation du « risque élevé» donnant lieu à une notification en cas de violation des droits et libertés des personnes concernées.

La difficulté réapparait lors de l’appréciation des exceptions à la notification de la violation. Ces exceptions –principalement la première et la dernière- sont peu claires tout en laissant une (trop) large manœuvre d’appréciation au responsable du traitement.

En d’autres termes, il incombera au responsable d’apprécier lui-même si la communication à la personne concernée d’une violation de données est nécessaire, compte tenu des mesures technologiques et organisationnelles appliquées ainsi que des mesures prises ultérieurement visant à empêcher la matérialisation du risque ou encore si cette communication implique des efforts disproportionnés.

Toutefois, la version finale tente partiellement de remédier aux conséquences négatives qui pourraient résulter de l’absence de notification aux personnes puisque les autorités de contrôle ont le pouvoir d’exiger une notification, ainsi que le pouvoir d’apprécier si l’une des exceptions à la notification est ou non rencontrée en l’espèce, se substituant ainsi au responsable du traitement, sans que cela exclut une éventuelle responsabilité de ce dernier.

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (ci-après le «RGPD») introduit l’exigence que toute violation de données à caractère personnel (ci-après la «violation») soit notifiée à l’autorité de contrôle nationale compétente (ou en cas de violation transfrontalière, à l’autorité chef de file) et, dans certains cas, communiquée aux personnes dont les données à caractère personnel ont été affectées par ladite violation.

L’obligation de notifier les violations existe déjà à l’heure actuelle pour certaines organisations, telles que les fournisseurs de services de communications électroniques accessibles au public [comme prévu par la directive 2009/136/CE et le règlement (CE) nº 611/2013]. Certains États membres disposent par ailleurs déjà de leur propre obligation de notification des violations. Il peut s’agir de l’obligation de notifier les violations impliquant certaines catégories de responsables du traitement autres que les fournisseurs de services de communications électroniques accessibles au public (par exemple, en Allemagne et en Italie), ou de l’obligation de notifier toutes les violations portant sur des données à caractère personnel (par exemple, aux Pays-Bas). D’autres États membres peuvent disposer de codes de bonne pratique pertinents (par exemple, en Irlande). Cependant, si un certain nombre d’autorités européennes chargées de la protection des données encouragent actuellement les responsables du traitement à notifier les violations, la directive 95/46/CE sur la protection des données, que le RGPD remplace, ne contient pas d’obligation spécifique à cet égard. Une telle exigence sera donc nouvelle pour de nombreuses organisations. Le RGPD rend en effet cette notification obligatoire pour tous les responsables du traitement à moins qu’une violation soit peu susceptible d’engendrer un risque pour les droits et libertés des individus. Les sous-traitants ont également un rôle important à jouer et doivent notifier toute violation au responsable du traitement.

Le groupe de travail «Article 29» (G29) considère que cette nouvelle exigence de notification présente plusieurs avantages. Lors de la notification à l’autorité de contrôle, les responsables du traitement peuvent notamment obtenir des conseils afin de savoir s’il convient d’informer les personnes concernées. En effet, l’autorité de contrôle peut ordonner au responsable du traitement d’informer lesdites personnes de la violation7. D’un autre côté, la communication d’une violation aux personnes concernées permet au responsable du traitement de leur fournir des informations sur les risques résultant de la violation et sur les mesures qu’elles peuvent prendre afin de se protéger des conséquences potentielles. Tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue comme un outil permettant de renforcer la conformité en matière de protection des données à caractère personnel. Parallèlement, il convient de noter que la non-communication d’une violation aux personnes concernées ou à l’autorité de contrôle pourrait entraîner une sanction pour le responsable du traitement en vertu de l’article 83.

Les responsables du traitement et les sous-traitants sont ainsi encouragés à prévoir à l’avance et à mettre en place des processus leur permettant de détecter et d’endiguer rapidement toute violation, d’évaluer les risques pour les personnes concernées et de déterminer ensuite s’il est nécessaire d’informer l’autorité de contrôle compétente et de communiquer, si nécessaire, la violation aux personnes concernées. La notification à l’autorité de contrôle devrait faire partie intégrante de ce plan de réaction aux incidents.

Le RGPD contient des dispositions concernant les cas où une violation doit être notifiée, les personnes et entités auxquelles il convient de la notifier ainsi que les informations que devrait comprendre cette notification. Les informations requises pour une telle notification peuvent certes être communiquées de façon échelonnée, mais les responsables du traitement devraient réagir à toute violation dans des délais appropriés.

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel9, le G29 a fourni des orientations aux responsables du traitement afin de les aider à décider s’il convient d’informer les personnes concernées en cas de violation. L’avis portait sur l’obligation imposée aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE, fournissait des exemples tirés de nombreux secteurs, dans le contexte du RGPD, encore à l’état de projet à l’époque, et présentait une série de bonnes pratiques à l’intention de tous les responsables du traitement.

Les présentes lignes directrices expliquent les obligations établies par le RGPD en matière de notification et de communication des violations ainsi que certaines des mesures que les responsables du traitement et les sous-traitants peuvent adopter en vue de respecter ces nouvelles obligations. Elles fournissent également des exemples de différents types de violations et des entités et personnes à informer dans différents cas de figure.

Lien

Guidelines 01/2021 on Examples regarding Personal Data Breach Notification (14 décembre 2021)

Lien

Guidelines 9/2022 on personal data breach notification under GDPR (10 October 2022)

The GDPR introduced the requirement for a personal data breach (henceforth “breach”) to be notified to the competent national supervisory authority4 (or in the case of a cross-border breach, to the lead authority) and, in certain cases, to communicate the breach to the individuals whose personal data have been affected by the breach.

Obligations to notify in cases of breaches existed for certain organisations, such as providers of publicly-available electronic communications services (as specified in Directive 2009/136/EC and Regulation (EU) No 611/2013) . There were also some Member States that already had their own national breach notification obligation. This might included the obligation to notify breaches involving categories of controllers in addition to providers of publicly available electronic communication services (for example in Germany and Italy), or an obligation to report all breaches involving personal data (such as in the Netherlands). Other Member States might had relevant Codes of Practice (for example, in Ireland6 ). Whilst a number of EU data protection authorities encouraged controllers to report breaches, the Data Protection Directive 95/46/EC , which the GDPR replaced, did not contain a specific breach notification obligation and therefore such a requirement was new for many organisations. The GDPR makes notification mandatory for all controllers unless a breach is unlikely to result in a risk to the rights and freedoms of individuals . Processors also have an important role to play and they must notify any breach to their controller .

The EDPB considers that the notification requirement has a number of benefits. When notifying the supervisory authority, controllers can obtain advice on whether the affected individuals need to be informed. Indeed, the supervisory authority may order the controller to inform those individuals about the breach. Communicating a breach to individuals allows the controller to provide information on the risks presented as a result of the breach and the steps those individuals can take to protect themselves from its potential consequences. The focus of any breach response plan should be on protecting individuals and their personal data. Consequently, breach notification should be seen as a tool enhancing compliance in relation to the protection of personal data. At the same time, it should be noted that failure to report a breach to either an individual or a supervisory authority may mean that under Article 83 GDPR a possible sanction is applicable to the controller.

Controllers and processors are therefore encouraged to plan in advance and put in place processes to be able to detect and promptly contain a breach, to assess the risk to individuals , and then to determine whether it is necessary to notify the competent supervisory authority, and to communicate the breach to the individuals concerned when necessary. Notification to the supervisory authority should form a part of that incident response plan.

The GDPR contains provisions on when a breach needs to be notified, and to whom, as well as what information should be provided as part of the notification. Information required for the notification can be provided in phases, but in any event controllers should act on any breach in a timely manner.

In its Opinion 03/2014 on personal data breach notification, WP29 provided guidance to controllers in order to help them to decide whether to notify data subjects in case of a breach. The opinion considered the obligation of providers of electronic communications regarding Directive 2002/58/EC and provided examples from multiple sectors, in the context of the then draft GDPR, and presented good practices for all controllers.

The current Guidelines explain the mandatory breach notification and communication requirements of the GDPR and some of the steps controllers and processors can take to meet these obligations. They also give examples of various types of breaches and who would need to be notified in different scenarios.

Link

Guidelines 9/2022 on personal data breach notification under GDPR (28 March 2023), - anglais

The GDPR introduced the requirement for a personal data breach (henceforth “breach”) to be notified to the competent national supervisory authority (or in the case of a cross-border breach, to the lead authority) and, in certain cases, to communicate the breach to the individuals whose personal data have been affected by the breach.

Obligations to notify in cases of breaches existed for certain organisations, such as providers of publicly-available electronic communications services (as specified in Directive 2009/136/EC and Regulation (EU) No 611/2013) . There were also some Member States that already had their own national breach notification obligation. This might included the obligation to notify breaches involving categories of controllers in addition to providers of publicly available electronic communication services (for example in Germany and Italy), or an obligation to report all breaches involving personal data (such as in the Netherlands). Other Member States might had relevant Codes of Practice (for example, in Ireland ). Whilst a number of EU data protection authorities encouraged controllers to report breaches, the Data Protection Directive 95/46/EC , which the GDPR replaced, did not contain a specific breach notification obligation and therefore such a requirement was new for many organisations. The GDPR makes notification mandatory for all controllers unless a breach is unlikely to result in a risk to the rights and freedoms of individuals8 . Processors also have an important role to play and they must notify any breach to their controller .

The EDPB considers that the notification requirement has a number of benefits. When notifying the supervisory authority, controllers can obtain advice on whether the affected individuals need to be informed. Indeed, the supervisory authority may order the controller to inform those individuals about the breach. Communicating a breach to individuals allows the controller to provide information on the risks presented as a result of the breach and the steps those individuals can take to protect themselves from its potential consequences. The focus of any breach response plan should be on protecting individuals and their personal data. Consequently, breach notification should be seen as a tool enhancing compliance in relation to the protection of personal data. At the same time, it should be noted that failure to report a breach to either an individual or a supervisory authority may mean that under Article 83 GDPR a possible sanction is applicable to the controller.

Controllers and processors are therefore encouraged to plan in advance and put in place processes to be able to detect and promptly contain a breach, to assess the risk to individuals, and then to determine whether it is necessary to notify the competent supervisory authority, and to communicate the breach to the individuals concerned when necessary. Notification to the supervisory authority should form a part of that incident response plan.

The GDPR contains provisions on when a breach needs to be notified, and to whom, as well as what information should be provided as part of the notification. Information required for the notification can be provided in phases, but in any event controllers should act on any breach in a timely manner.

In its Opinion 03/2014 on personal data breach notification12, WP29 provided guidance to controllers in order to help them to decide whether to notify data subjects in case of a breach. The opinion considered the obligation of providers of electronic communications regarding Directive 2002/58/EC and provided examples from multiple sectors, in the context of the then draft GDPR, and presented good practices for all controllers.

The current Guidelines explain the mandatory breach notification and communication requirements of the GDPR and some of the steps controllers and processors can take to meet these obligations. They also give examples of various types of breaches and who would need to be notified in different scenarios.

Link (anglais)

Retour au sommaire

Sommaire

France

Retour au sommaire

France

Jurisprudence française

CE Fr., n°148659 (7 juin 1995)

La Commission nationale de l'informatique et des libertés a fait une exacte application de l'article 34 de la loi du 6 janvier 1978 en considérant que, lorsqu'est mise en œuvre la technique dite de la "segmentation comportementale", "si le segment ne constitue pas à lui seul une information nominative, il le devient dès lors qu'il est associé à une personne identifiée ou indirectement identifiable et figure dans un traitement informatisé", et que "les personnes concernées doivent pouvoir avoir connaissance des mentions relatives à la segmentation qui figurent dans le fichier en cause".

Arrêt rendu

CE Fr., n°385019 (30 décembre 2015)

1. Les dispositions de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978 imposent seulement aux fournisseurs de services de communications électroniques accessibles au public d'informer la CNIL et, le cas échéant, les personnes intéressées lorsqu'ils constatent une violation de données à caractère personnel. Elles n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables. Un requérant ne saurait dès lors utilement soutenir qu'elles méconnaîtraient les stipulations du 1 de l'article 6 de la CEDH, qui garantissent le droit de ne pas contribuer à sa propre incrimination, et les articles 47 et 48 de la Charte des droits fondamentaux de l'Union européenne, qui garantissent le droit d'accéder à un tribunal impartial et les droits de la défense.

2. En revanche, un requérant peut utilement soutenir qu'une sanction prononcée par la CNIL contre un fournisseur de services de communications électroniques accessibles au public à raison d'un manquement révélé du fait de l'obligation prévue par les dispositions de l'article 34 bis méconnaît ces stipulations.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 34

1. Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 33, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personn el incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être info rmées de manière tout aussi efficace.

4. Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

Proposition 1 close

1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée.

2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 31, paragraphe 3, points b) et c).

3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

4. Sans préjudice de l’obligation du responsable du traitement de communiquer à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel. 6. La Commission peut définir la forme de la communication à la personne concernée prévue au paragraphe 1 et les procédures applicables à cette communication. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. Lorsque la violation de données à caractère personnel est susceptible d'exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés , par exemple une discrimination, un vol ou une usurpation d'identité, une perte financière, une atteinte à la réputation, un renversement non autorisé de la pseudonymisation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important, le responsable du traitement (...) en adresse notification sans retard injustifié à la personne concernée.

2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation de données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 31, paragraphe 3, points b), e) et f).

3. La communication (…) à la personne concernée (…), visée au paragraphe 1, n'est pas nécessaire si:

a. le responsable du traitement (…) a mis en œuvre les mesures de protection technologiques et organisationnelles appropriées et que ces dernières ont été appliquées aux données affectées par ladite violation, en particulier celles qui rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès, telles que le cryptage;

 ou b. le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé au regard des droits et des libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

ou c. elle risque d'entraîner des mesures disproportionnées, eu égard notamment au nombre de cas concernés. Dans ce cas, il convient plutôt de procéder à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace;

ou d. elle risque de porter atteinte à un intérêt public important.

4. (…)

5. (…)

6. (…)

Directive close

RÈGLEMENT (UE) No 611/2013 DE LA COMMISSION du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques

Art. 3

1.   Lorsque la violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier, le fournisseur, en plus de la notification visée à l’article 2, notifie également la violation à l’abonné ou au particulier.

2.   Il est déterminé si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier en prenant notamment en compte les éléments suivants:

a) la nature et la teneur des données concernées, en particulier s’il s’agit de données relatives à des informations financières, de catégories de données particulières visées à l’article 8, paragraphe 1, de la directive 95/46/CE ainsi que de données de localisation, fichiers journaux internet, historiques de sites web consultés, données relatives au courrier électronique et listes d’appels téléphoniques détaillées;

b) les conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, notamment les cas où la violation pourrait entraîner un vol ou une usurpation d’identité, une atteinte à l’intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation; et

c) les circonstances de la violation de données à caractère personnel, en particulier l’endroit où les données ont été volées ou le moment auquel le fournisseur sait que les données sont en possession d’un tiers non autorisé.

3.   La notification à l’abonné ou au particulier est effectuée sans retard injustifié après constat de la violation de données à caractère personnel tel que défini à l’article 2, paragraphe 2, troisième alinéa. Cela est indépendant de la notification de la violation de données à caractère personnel à l’autorité nationale compétente, visée à l’article 2.

4.   Le fournisseur fournit les informations visées à l’annexe II dans sa notification à l’abonné ou au particulier. La notification à l’abonné ou au particulier est rédigée dans une langue claire et aisément compréhensible. Le fournisseur n’utilise pas la notification comme un moyen de promouvoir ou d’annoncer des services nouveaux ou supplémentaires.

5.   Dans certains cas exceptionnels, s’il y a un risque que la notification à l’abonné ou au particulier nuise à l’efficacité de l’enquête sur la violation de données à caractère personnel, le fournisseur est autorisé, après avoir obtenu l’accord de l’autorité nationale compétente, à retarder la notification jusqu’au moment où ladite autorité juge possible de notifier la violation conformément au présent article.

6.   Le fournisseur notifie la violation de données à caractère personnel à l’abonné ou au particulier par des moyens de communication qui garantissent une réception rapide de l’information et qui sont sécurisés conformément aux règles de l’art. Les informations concernant la violation se limitent à celle-ci et ne sont pas associées à des informations concernant autre chose.

7.   Si le fournisseur directement lié par contrat avec l’utilisateur final, malgré les efforts raisonnables déployés, n’est pas en mesure d’identifier dans le délai fixé au paragraphe 3 toutes les personnes susceptibles d’être lésées par la violation de données à caractère personnel, il peut, dans le même délai, informer ces personnes par des avis dans de grands médias nationaux ou régionaux dans les États membres concernés. Ces avis contiennent les informations visées à l’annexe II, si nécessaire sous une forme condensée. Dans ce cas, le fournisseur continue à déployer tous les efforts raisonnables pour identifier ces personnes et leur notifier dès que possible les informations visées à l’annexe II.

Aucune disposition spécifique

Ancienne loi close

Art. 114/1.

(….)

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier, l'entreprise fournissant des services de communications électroniques accessibles au public avertit également sans délai l'abonné ou le particulier concerné de la violation. La Commission de la protection de la vie privée examine si l'entreprise se conforme à cette obligation et informe l'Institut lorsqu'elle estime que cela n'est pas le cas.

La notification d'une violation des données à caractère personnel à l'abonné ou au particulier concerné n'est pas nécessaire si l'entreprise fournissant des services de communications électroniques accessibles au public a prouvé, à la satisfaction de l'Institut, qu'elle a mis en oeuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

Sans préjudice de l'obligation de l'entreprise fournissant des services de communications électroniques accessibles au public d'informer les abonnés et les particuliers concernés, si l'entreprise fournissant des services de communications électroniques accessibles au public n'a pas déjà averti l'abonné ou le particulier de la violation de données à caractère personnel, l'Institut peut, [2 à la demande de la Commission de la protection de la vie privée,]2 après avoir examiné les effets éventuellement négatifs de cette violation, exiger d'elle qu'elle s'exécute.

La notification faite à l'abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à [2 la Commission de la protection de la vie privée]2 décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par l'entreprise fournissant des services de communications électroniques accessibles au public pour y remédier.

§ 4. Sous réserve de mesures techniques d'application éventuelles émanant de la Commission européenne conformément à l'article 4, point 5, de la Directive 2002/58/CE, et après avis de la Commission de la protection de la vie privée, l'Institut peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles les entreprises fournissant des services de communications électroniques accessibles au public sont tenues de notifier la violation de données à caractère personnel [2 ...]2.

  [2 Sous réserve de mesures techniques d'application éventuelles émanant de la Commission européenne conformément à l'article 4, point 5, de la Directive 2002/58/CE, et après avis de l'Institut, la Commission de la protection de la vie privée peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant le format applicable à cette notification et sa procédure de transmission.]2

Les entreprises fournissant des services de communications électroniques accessibles au public tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, [2 de sorte que la Commission de la protection de la vie privée et l'Institut puissent vérifier le respect des dispositions du paragraphe 3]2. Cet inventaire comporte uniquement les informations nécessaires à cette fin.]1

 

close