Obligation de notification en cas
d'une violation de données
à caractère personnel

Tout responsable de traitement des données est tenu de
notifier à la commission de la vie privée lorsqu'une violation
s'est produite lors d'un traitement de données
à caractère personnel.

Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le "RGPD") prévoit une obligation de notification dans le chef du responsable de traitement en cas de violation lors du traitement des données à caractère personnel.

Sauf si le législateur belge fait jouer l'obligation de notification plus tôt, celle-ci entrera en vigueur en Belgique, en principe, à partir de l'entrée en vigueur du règlement général sur la protection des données, c'est-à-dire le 25 mai 2018.

La nature de la violation qui est susceptible d'engendrer l'obligation de notification peut varier. Piratage extérieur est l'exemple le plus connu, mais aussi la perte d'une clé USB ou d'un ordinateur portable sur lequel des données à caractère personnel ont été sauvegardées, peuvent l'être.

Au Pays-Bas, cette obligation de notification avait déjà été introduite le 1er janvier 2016. Jusqu'à présent, seulement un nombre limité de notifications a été noté au Pays-Bas. Ceci est, selon toute vraisemblance, pas dû au fait que les entreprises au Pays-Bas sont rarement confrontées à des fuites, mais sera probablement dû au fait que s'il y a une fuite, celle-ci est tenue secrète par crainte de dégradation de l'image et/ou de conséquences pécuniaires.

Pourtant, les méfaits sont plus grands s'il n'y a pas de notification, non seulement pour la victime concernée qui ignore que son mot de passe, email, ou ses autres données ont été révélés en ligne et ne peut donc pas prendre des mesures afin de limiter ou arrêter le dommage, mais aussi pour la société qui sera possiblement confrontée aux sanctions plus sévères de la commission de la vie privée à cause du manque de notification.

1.  L'obligation de notification: de quoi s'agit-il?

L'article 33 du RGPD stipule que s'il y a eu une violation en connexion avec des données à caractère personnel, le responsable du traitement notifie cette violation à l'autorité de contrôle (la commission de la vie privée), sans délai irraisonnable et si possible endéans les 72 heurs après qu'elle en ait pris connaissance. Dans l'hypothèse ou la notification n'a pas lieu endéans les 72 heures, la raison pour ce retard doit être mentionnée.

La violation ne doit pas être notifiée s'il est improbable qu'il existe un risque pour les droits et les libertés des personnes physiques. La responsabilité pour cette analyse incombe à la société utilisateur et ceci n'est pas toujours facile à déterminer. Sans doute la commission de la vie privée fournira de la clarté additionnelle ou de directives à cet égard afin d'aider les sociétés.

Si la notification est nécessaire, le Règlement général sur la protection des données impose que les informations suivantes soient communiquées:

La nature de la violation, si possible sous mention des catégories des concernés et les registres de données à caractère personnel en question et, approximativement, du nombre de concernés et  des données à caractère personnel.

Le nom et les coordonnées du délégué à la protection des données (DPD) ou un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenue;

les conséquences probables de la violation de données à caractère personnel;

les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Le RGPD des données permet que s'il s'avère impossible de fournir toutes les informations simultanément, l'information peut également être fourni en étapes, de nouveau sans délai irraisonnable.

En outre, le responsable du traitement doit documenter toutes les violations, y compris les faits concernant les violations, ses conséquences et les mesures de corrections prises. Cette documentation permet à la commission de la vie privée de contrôler le respect de l'obligation de notification.

2.  Communication à la personne concernée

Outre l'obligation de notification à la commission de la vie privée, il incombe au responsable du traitement une obligation de communiquer, dans certains cas, la violation aux personnes concernées. Cette obligation existe quand la violation constitue un risque élevé pour les droits et libertés des personnes concernées. Une fois de plus, l'on doit attendre les directives additionnelles qui aideraient à apprécier l'éventuel risque élevé.

La communication doit contenir une description de la nature de la violation en des termes clairs et simples. D'autre part, le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact doivent également être communiqués.

Cette communication n'est toutefois pas requise dans certains cas:

Si le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et si ces mesures rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telle que le chiffrement ;

Si le responsable du traitement a pris des mesures ultérieures, qui garantissent que le risque élevé pour les droits et libertés des personnes concernées ne sera pas susceptible de se concrétiser ;

Et si la communication exigerait des efforts disproportionnés de la société. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

3.  Sanctions

Si ces dispositions ne sont pas respectées, ceci peut donner lieu à des amendes considérables. Ces amendes peuvent s'élever jusqu'à 10.000.000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. L'étendue des amendes ne peut toutefois pas être dissuasive. Comme indiqué oralement et à plusieurs reprises par la commission de la vie privée, l'objectif n'est pas d'agir immédiatement et sévèrement punitif, mais en revanche d'abord de sensibiliser, informer, prévenir et guider.

Lors de l'appréciation de la sanction il est tenu compte de la nature, la sévérité et la durée de la violation, le fait que la violation a été commise délibérément ou par négligence, toute mesure prise pour atténuer le dommage subi par les personnes concernées, toute violation pertinente commise précédemment, le degré de coopération établi avec l'autorité de contrôle ...etc...

4.  Une politique interne relative au respect de la vie privée

Afin d'agir de manière la plus adéquate en cas d'une fuite de données, il convient d'établir, de manière proactive, une politique ou une feuille de route dans laquelle les étapes qui doivent être suivies dans de telles situations, sont décrites. La commission de la vie privée doit, en principe, être informé endéans les 72 heures des mesures prises afin de remédier aux violations.

Une bonne préparation et une politique lucide relative au respect de la vie privée peuvent aider à répondre de manière appropriée à une fuite de données potentielle.

19 décembre 2016

Lynn Pype - lynn.pype@peeters-law.be
Griet Verfaillie - griet.verfaillie@peeters-law.be

En savoir plus sur ce sujet: inscrivez-vous à notre Newsletter

E-mail *


   
  La clause d'earn-out dans la convention d'achat d'actions  
  Les PME mieux informées sur le droit belge de la concurrence  
  Prix de transfert - Obligations complémentaires de déclaration  
  Règlement Général sur la Protection des Données (RGPD) Principaux changements  
  Nouvelle procédure pour le recouvrement de dettes incontestées en B2B  
  Carnet de route concernant des fusions et acquisitions en Belgique (1° partie)  
  Carnet de route concernant les fusions et acquisitions en Belgique (2° partie)  
Obligation de notification en cas d'une violation de données à caractère personnel  
  Le délégué à la protection des données  
  L'utilisation des images de caméra comme moyen de preuve  
  Comment peut-on exercer son droit à l'oubli?  
  La saisie sur des comptes bancaires à l’étranger est facilitée  
  La réintégration des malades de longue durée : Réintégration dans l’entreprise  
  Crowdfunding - Update  
  La loi « Travail Faisable et Maniable »  
  Carnet de route concernant les fusions et acquisitions en Belgique (3° partie)  
  Carnet de route concernant les fusions et acquisitions en Belgique (4° partie) - Financement des acquisitions  
  Modifications de la loi sur les SIR approuvée par la Chambre