Résumé : L’article 34 du RGPD impose au responsable de traitement d’informer sans délai les personnes concernées lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Toutefois, ce principe connaît trois exceptions strictement encadrées.
Les trois cas dans lesquels la communication aux personnes concernées n’est pas obligatoires en cas de violation de données :
a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;
b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;
c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
L’application de ces exceptions doit être rigoureuse et documentée, sous peine de sanctions par l’autorité de contrôle.
La CNIL a déjà sanctionné des entreprises pour une application abusive de l’exception d’efforts disproportionnés. Par exemple, dans sa décision du 28 décembre 2021, elle a condamné une société à 180 000 € d’amende pour ne pas avoir informé individuellement les personnes concernées alors qu’elle disposait de l’adresse e-mail de la moitié d’entre elles. L’exception n’a donc pas été retenue.
Bonnes pratiques
- Documenter systématiquement toute décision de ne pas notifier individuellement les personnes concernées.
- Prévoir des mesures techniques et organisationnelles robustes pour limiter les risques et, le cas échéant, bénéficier des exceptions prévues.
- Consulter l’autorité de contrôle en cas de doute sur l’application d’une exception.
Références relatives à l’article 34 du RGPD :
- RGPD : Article 34 et considérant 86
- CNIL : Délibération de la formation restreinte n°SAN-2021-020 du 28 décembre 2021 (amende de 180 000€)
- EDPB
- Lignes directrices 9/2022 sur la notification de violations de données à caractère personnel en vertu du RGPD Version 2.0 Adoptées le 28 mars 2023
- Lignes directrices 01/2021 Exemples concernant la notification de violations de données à caractère personnel Adoptées le 14 décembre 2021 Version 2.0
- Dossier EDPB sur la sécurité et les notifications de violations
CONTACTEZ VOTRE AVOCAT DPO EXTERNE
Besoin de l’aide d’un avocat pour un problème de violation de données à caractère personnel, DPO, RGPD? Contactez Me Marine de la Clergerie (contact@mdc-avocat.fr, www.mdc-avocat, Consultation, LinkedIn). Avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel et DPO certifié (VERITAS), Me de la Clergerie accompagne régulièrement ses clients en cas de violations de données.
