menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : France) language
Contactez notre membre local en France mail_outline
Visitez le site web de Ulys account_balance

arrow_backArticle précédent
Article 34
Article suivantarrow_forward

Communication à la personne concernée d'une violation de données à carcatère personnel

Textes
Officiels Guidelines
& Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 34 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 34 keyboard_arrow_up

Articles liés à l'article 34

Mots clés liés à l'article 34

Afficher les considérants du Règlement liés à l'article 34 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 34 keyboard_arrow_up

(85) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

(87) Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en oeuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 34.

Le GDPR

Contrairement à la notification à l’autorité de contrôle (cfr. l’article 33), la version finale du Règlement n’oblige le responsable à notifier à la personne concernée que les violations de données susceptibles d’exposer les personnes physiques à un risque élevé (« high risk ») à leurs droits et libertés.

L’article 34 détermine également le contenu de la notification à la personne concernée, qui est d’ailleurs très proche de celui de la notification de l’article 33 auquel il est largement renvoyé (cfr. art 34, § 2). La version finale du Règlement précise à cet égard que la communication doit être effectuée dans un langage clair et simple.

Le délai diverge quelque peu de la notification à l’autorité de contrôle puisque l’article 34 §1er in fine indique seulement qu’il faut y procéder « sans retard injustifié ». L’idée est que les personnes doivent sans retard prendre le cas échéant les mesures qui s’imposent afin de faire cesser ou atténuer les effets négatifs pouvant découler de la violation des données (cfr le considérant 85).

L’article 34 §3 prévoit par contre des exceptions à la notification aux personnes :

- Si le responsable a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et que ces dernières ont été appliquées aux données affectées par ladite violation, en particulier celles qui rendent les données incompréhensibles à toute personne non autorisée, telles que le chiffrement (a) ;

- Ou si le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé au regard des droits et des libertés des personnes concernées n'est plus susceptible de se matérialiser (b) ;

- Ou si elle risque d'entraîner des efforts disproportionnés. Dans ce cas, il convient plutôt de procéder à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace (c).

Initialement, selon la seconde proposition de Règlement, la notification n’était pas nécessaire si elle risquait de porter atteinte à un intérêt public important. Cette exception qui laissait, à notre estime, une trop grande marge de manœuvre au responsable, a toutefois été supprimée dans la version finale du Règlement.

Enfin, la version finale du Règlement ajoute un 4e paragraphe à l’article 34 conférant à l’autorité de contrôle le pouvoir d’exiger du responsable une communication aux personnes concernées, compte tenu de la probabilité que la violation entraine un risque élevé pour les personnes concernées. Cette disposition reconnaît également à l’autorité de contrôle le pouvoir d’apprécier si la notification à la personne concernée est nécessaire, au regard des exceptions prévues à l’article 34, § 3 du Règlement.

La Directive

La Directive ne prévoyait pas d’obligation de notification en cas d’une violation des données à caractère personnel (« data breach »). Par contre, le système était prévu par la Directive 2002/58/CE sur la vie privée et les communications électroniques et coulé dans le Règlement n°611/2013 concernant les mesures relatives à la notification des violations de données à caractère personnel.

France

En droit français, le système de notification en cas de violation des données à caractère personnel en matière de communication électronique a été introduit à l’article 34 bis de la loi Informatique et Libertés. Selon cette disposition, seules les violations susceptibles de porter atteinte aux données ou à la vie privée d’un abonné doivent, en principe, faire l’objet d’une communication à la personne concernée.

Difficultés probables ?

On peut ici craindre les difficultés générées par la question de l’appréciation du « risque élevé» donnant lieu à une notification en cas de violation des droits et libertés des personnes concernées.

La difficulté réapparait lors de l’appréciation des exceptions à la notification de la violation. Ces exceptions –principalement la première et la dernière- sont peu claires tout en laissant une (trop) large manœuvre d’appréciation au responsable du traitement.

En d’autres termes, il incombera au responsable d’apprécier lui-même si la communication à la personne concernée d’une violation de données est nécessaire, compte tenu des mesures technologiques et organisationnelles appliquées ainsi que des mesures prises ultérieurement visant à empêcher la matérialisation du risque ou encore si cette communication implique des efforts disproportionnés.

Toutefois, la version finale tente partiellement de remédier aux conséquences négatives qui pourraient résulter de l’absence de notification aux personnes puisque les autorités de contrôle ont le pouvoir d’exiger une notification, ainsi que le pouvoir d’apprécier si l’une des exceptions à la notification est ou non rencontrée en l’espèce, se substituant ainsi au responsable du traitement, sans que cela exclut une éventuelle responsabilité de ce dernier.

arrow_back Article précédentArticle 34Article suivant arrow_forward
arrow_back Article précédentArticle 34 Article suivant arrow_forward

Groupe 29

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (ci-après le «RGPD») introduit l’exigence que toute violation de données à caractère personnel (ci-après la «violation») soit notifiée à l’autorité de contrôle nationale compétente (ou en cas de violation transfrontalière, à l’autorité chef de file) et, dans certains cas, communiquée aux personnes dont les données à caractère personnel ont été affectées par ladite violation.

L’obligation de notifier les violations existe déjà à l’heure actuelle pour certaines organisations, telles que les fournisseurs de services de communications électroniques accessibles au public [comme prévu par la directive 2009/136/CE et le règlement (CE) nº 611/2013]. Certains États membres disposent par ailleurs déjà de leur propre obligation de notification des violations. Il peut s’agir de l’obligation de notifier les violations impliquant certaines catégories de responsables du traitement autres que les fournisseurs de services de communications électroniques accessibles au public (par exemple, en Allemagne et en Italie), ou de l’obligation de notifier toutes les violations portant sur des données à caractère personnel (par exemple, aux Pays-Bas). D’autres États membres peuvent disposer de codes de bonne pratique pertinents (par exemple, en Irlande). Cependant, si un certain nombre d’autorités européennes chargées de la protection des données encouragent actuellement les responsables du traitement à notifier les violations, la directive 95/46/CE sur la protection des données, que le RGPD remplace, ne contient pas d’obligation spécifique à cet égard. Une telle exigence sera donc nouvelle pour de nombreuses organisations. Le RGPD rend en effet cette notification obligatoire pour tous les responsables du traitement à moins qu’une violation soit peu susceptible d’engendrer un risque pour les droits et libertés des individus. Les sous-traitants ont également un rôle important à jouer et doivent notifier toute violation au responsable du traitement.

Le groupe de travail «Article 29» (G29) considère que cette nouvelle exigence de notification présente plusieurs avantages. Lors de la notification à l’autorité de contrôle, les responsables du traitement peuvent notamment obtenir des conseils afin de savoir s’il convient d’informer les personnes concernées. En effet, l’autorité de contrôle peut ordonner au responsable du traitement d’informer lesdites personnes de la violation7. D’un autre côté, la communication d’une violation aux personnes concernées permet au responsable du traitement de leur fournir des informations sur les risques résultant de la violation et sur les mesures qu’elles peuvent prendre afin de se protéger des conséquences potentielles. Tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue comme un outil permettant de renforcer la conformité en matière de protection des données à caractère personnel. Parallèlement, il convient de noter que la non-communication d’une violation aux personnes concernées ou à l’autorité de contrôle pourrait entraîner une sanction pour le responsable du traitement en vertu de l’article 83.

Les responsables du traitement et les sous-traitants sont ainsi encouragés à prévoir à l’avance et à mettre en place des processus leur permettant de détecter et d’endiguer rapidement toute violation, d’évaluer les risques pour les personnes concernées et de déterminer ensuite s’il est nécessaire d’informer l’autorité de contrôle compétente et de communiquer, si nécessaire, la violation aux personnes concernées. La notification à l’autorité de contrôle devrait faire partie intégrante de ce plan de réaction aux incidents.

Le RGPD contient des dispositions concernant les cas où une violation doit être notifiée, les personnes et entités auxquelles il convient de la notifier ainsi que les informations que devrait comprendre cette notification. Les informations requises pour une telle notification peuvent certes être communiquées de façon échelonnée, mais les responsables du traitement devraient réagir à toute violation dans des délais appropriés.

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel9, le G29 a fourni des orientations aux responsables du traitement afin de les aider à décider s’il convient d’informer les personnes concernées en cas de violation. L’avis portait sur l’obligation imposée aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE, fournissait des exemples tirés de nombreux secteurs, dans le contexte du RGPD, encore à l’état de projet à l’époque, et présentait une série de bonnes pratiques à l’intention de tous les responsables du traitement.

Les présentes lignes directrices expliquent les obligations établies par le RGPD en matière de notification et de communication des violations ainsi que certaines des mesures que les responsables du traitement et les sous-traitants peuvent adopter en vue de respecter ces nouvelles obligations. Elles fournissent également des exemples de différents types de violations et des entités et personnes à informer dans différents cas de figure.

Lien

arrow_back Article précédentArticle 34 Article suivant arrow_forward
Règlement
1e 2e

Art. 34

1. Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 33, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personn el incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être info rmées de manière tout aussi efficace.

4. Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.
Proposition 1 close

1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée.

2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 31, paragraphe 3, points b) et c).

3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

4. Sans préjudice de l’obligation du responsable du traitement de communiquer à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel. 6. La Commission peut définir la forme de la communication à la personne concernée prévue au paragraphe 1 et les procédures applicables à cette communication. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
Proposition 2 close

1. Lorsque la violation de données à caractère personnel est susceptible d'exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés , par exemple une discrimination, un vol ou une usurpation d'identité, une perte financière, une atteinte à la réputation, un renversement non autorisé de la pseudonymisation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important, le responsable du traitement (...) en adresse notification sans retard injustifié à la personne concernée.

2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation de données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 31, paragraphe 3, points b), e) et f).

3. La communication (…) à la personne concernée (…), visée au paragraphe 1, n'est pas nécessaire si:

a. le responsable du traitement (…) a mis en œuvre les mesures de protection technologiques et organisationnelles appropriées et que ces dernières ont été appliquées aux données affectées par ladite violation, en particulier celles qui rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès, telles que le cryptage;

 ou b. le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé au regard des droits et des libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

ou c. elle risque d'entraîner des mesures disproportionnées, eu égard notamment au nombre de cas concernés. Dans ce cas, il convient plutôt de procéder à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace;

ou d. elle risque de porter atteinte à un intérêt public important.

4. (…)

5. (…)

6. (…)
Directive close

RÈGLEMENT (UE) No 611/2013 DE LA COMMISSION du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques

Art. 3

1.   Lorsque la violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier, le fournisseur, en plus de la notification visée à l’article 2, notifie également la violation à l’abonné ou au particulier.

2.   Il est déterminé si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier en prenant notamment en compte les éléments suivants:

a) la nature et la teneur des données concernées, en particulier s’il s’agit de données relatives à des informations financières, de catégories de données particulières visées à l’article 8, paragraphe 1, de la directive 95/46/CE ainsi que de données de localisation, fichiers journaux internet, historiques de sites web consultés, données relatives au courrier électronique et listes d’appels téléphoniques détaillées;

b) les conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, notamment les cas où la violation pourrait entraîner un vol ou une usurpation d’identité, une atteinte à l’intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation; et

c) les circonstances de la violation de données à caractère personnel, en particulier l’endroit où les données ont été volées ou le moment auquel le fournisseur sait que les données sont en possession d’un tiers non autorisé.

3.   La notification à l’abonné ou au particulier est effectuée sans retard injustifié après constat de la violation de données à caractère personnel tel que défini à l’article 2, paragraphe 2, troisième alinéa. Cela est indépendant de la notification de la violation de données à caractère personnel à l’autorité nationale compétente, visée à l’article 2.

4.   Le fournisseur fournit les informations visées à l’annexe II dans sa notification à l’abonné ou au particulier. La notification à l’abonné ou au particulier est rédigée dans une langue claire et aisément compréhensible. Le fournisseur n’utilise pas la notification comme un moyen de promouvoir ou d’annoncer des services nouveaux ou supplémentaires.

5.   Dans certains cas exceptionnels, s’il y a un risque que la notification à l’abonné ou au particulier nuise à l’efficacité de l’enquête sur la violation de données à caractère personnel, le fournisseur est autorisé, après avoir obtenu l’accord de l’autorité nationale compétente, à retarder la notification jusqu’au moment où ladite autorité juge possible de notifier la violation conformément au présent article.

6.   Le fournisseur notifie la violation de données à caractère personnel à l’abonné ou au particulier par des moyens de communication qui garantissent une réception rapide de l’information et qui sont sécurisés conformément aux règles de l’art. Les informations concernant la violation se limitent à celle-ci et ne sont pas associées à des informations concernant autre chose.

7.   Si le fournisseur directement lié par contrat avec l’utilisateur final, malgré les efforts raisonnables déployés, n’est pas en mesure d’identifier dans le délai fixé au paragraphe 3 toutes les personnes susceptibles d’être lésées par la violation de données à caractère personnel, il peut, dans le même délai, informer ces personnes par des avis dans de grands médias nationaux ou régionaux dans les États membres concernés. Ces avis contiennent les informations visées à l’annexe II, si nécessaire sous une forme condensée. Dans ce cas, le fournisseur continue à déployer tous les efforts raisonnables pour identifier ces personnes et leur notifier dès que possible les informations visées à l’annexe II.
France
compare_arrows
visibility Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 58

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. -Le responsable de traitement notifie à la Commission nationale de l'informatique et des libertés et communique à la personne concernée toute violation de données à caractère personnel en application des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016.

II. -Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du même règlement lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

La dérogation prévue au présent article n'est applicable qu'aux seuls traitements de données à caractère personnel nécessaires au respect d'une obligation légale qui requiert le traitement de ces données ou à l'exercice d'une mission d'intérêt public dont est investi le responsable de traitement.

 
Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 34 bis

(…).

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé.

La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.

A défaut, la Commission nationale de l'informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés.

III. - Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.
arrow_back Article précédentArticle 34 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.