Dois-je notifier une violation de sécurité ?

La règle

 

A compter de mai 2018, le responsable de traitement a l'obligation de notifier toute violation de sécurité :

  • à la CNIL dans les meilleurs délais, et si possible, 72 heures au plus tard après sa connaissance (exception : si une telle notification ne peut avoir lieu dans ce délai, elle devra être assortie des motifs du retard et des informations pourront être fournies de manière échelonnée sans autre retard) ;
  • à la personne concernée en cas de risque élevé pour ses droits et libertés (ex : violation du secret médical).

Doyoono ?

Le sous-traitant doit également notifier au responsable de traitement dans les meilleurs délais après en avoir eu connaissance l'identification d'une faille de sécurité.


L'exception

 

L'information de la personne concernée par la violation de sécurité n'est pas obligatoire dans les cas suivants :

  • le responsable de traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées (ex : chiffrement) ;
  • le responsable de traitement a pris des mesures ultérieures garantissant que le risque élevé pour les droits et libertés n'est plus susceptible de se reproduire ;

elle exigerait des efforts disproportionnés (une communication publique est alors préférée ou une mesure similaire).

Because yoonozelo

Le non-respect de cette obligation de notification à la CNIL est passible d'une amende administrative pouvant atteindre 10 millions d'euros, ou 2% du chiffre d'affaires annuel (s'il s'agit d'une entreprise). La plus grande vigilance est de mise !


-->