Le texte de l’article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel
”n cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard… ”
article 33
L’analyse de l’article : Notification à l’autorité de contrôle d’une violation de données à caractère personnel
L’objet de cet article 33 de la RGPD est de fixer la conduite à tenir par le responsable du traitement de données à caractère personnel lorsqu’il constate une violation de ces données. L’article précise que la notification de cette violation à la CNIL n’est nécessaire que si elle présente un risque d’atteinte aux libertés et droits d’une personne physique. C’est le cas de toute violation pouvant entraîner un important dommage social ou économique (usurpation d’identité, préjudice financier, atteinte à la réputation…).
Contrairement à beaucoup d’articles de la RGPD, qui présentent de grands principes de façon très globale, l’article 33 détaille précisément la conduite à tenir pour la notification à l’autorité de contrôle d’une violation de données à caractère personnel.
Responsabilités des sous-traitants.
Les sous-traitants sont tenus de signaler toute violation de données à caractère personnel au responsable du traitement. Ce signalement doit se faire le plus tôt possible (le délai n’est pas précisé dans l’article). C’est ensuite au responsable du traitement des données de procéder à la notification auprès de la CNIL.
Informations devant être mentionnées dans la notification.
L’article dresse la liste des informations devant obligatoirement figurer dans la notification :
- description précise de la violation constatée ;
- si possible, estimation du nombre de personnes concernées, et si nécessaire de leur nature (enfants, personnes soumises au secret professionnel…), ainsi que du type et du nombre de données ;
- description des conséquences possibles de la violation, telles que perçues par le responsable des données au moment de la notification ;
- description des mesures prises et à prendre pour atténuer autant que possible les conséquences de la violation ;
- descriptions des mesures que le responsable du traitement des données compte mettre en place pour empêcher le renouvellement de la violation, que ce soit dans l’immédiat ou à plus long terme.
Cette liste est non exhaustive : le responsable peut y ajouter toute information qu’il estime nécessaire. Il doit également indiquer les coordonnées complètes de la personne de contact vers qui la CNIL peut se tourner afin d’obtenir des informations complémentaires.
Délai de notification.
Lorsqu’il prend connaissance de tels faits, le responsable du traitement doit procéder à la notification à l’autorité de contrôle d’une violation de données à caractère personnel dans un délai de 72 heures. S’il n’est pas en mesure de respecter ce délai, il devra en expliquer la raison dans la notification.
Conduite à tenir si des informations ne sont pas disponibles.
Dans certaines situations, le responsable du traitement des données n’est pas en mesure de fournir toutes les données nécessaires dans la notification initiale. Il est alors tenu de communiquer les informations de manière échelonnée, au fur et à mesure qu’il en prend connaissance.
Une précision importante est donnée à la fin de cet article 33: la notification à l’autorité de contrôle ne dispense pas le responsable des données de son obligation de documentation de la violation des données à caractère personnel. Cette documentation doit pouvoir être présentée à la CNIL lors d’audits.
