Aller au contenu principal
MaMiseEnDemeure.frRédiger ma lettre →

Violation de Données Personnelles : Exigez la Notification

Numérique & Données Personnelles3 min de lecture

Vous apprenez par la presse ou par un tiers qu'une entreprise dont vous êtes client a subi un piratage. Vos données personnelles -- adresse, numéro de téléphone, données bancaires, mots de passe -- ont potentiellement été exposées. Et pourtant, l'entreprise ne vous a rien dit. Pas de notification, pas de recommandation, pas de mesure de protection.

Le RGPD impose aux organismes de vous notifier toute violation de données susceptible d'engendrer un risque élevé pour vos droits. Si cette obligation n'est pas respectée, une mise en demeure est le moyen de l'exiger et de protéger vos intérêts.

Comprendre vos droits

L'obligation de notification

Lorsqu'une violation de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement doit les en informer dans les meilleurs délais. Cette obligation s'ajoute à la notification obligatoire à la CNIL sous 72 heures.

Ce qui constitue un "risque élevé"

Un risque élevé existe notamment lorsque la violation peut entraîner une usurpation d'identité, une fraude financière, une atteinte à la réputation, une discrimination, ou la perte de confidentialité de données protégées par le secret professionnel. Les données sensibles (santé, opinions politiques, données biométriques) et les données financières sont particulièrement concernées.

Le contenu de la notification

L'organisme doit vous fournir une description claire de la violation, les catégories de données concernées, les conséquences probables, les mesures prises pour y remédier, et des recommandations pour vous protéger (changement de mot de passe, surveillance des comptes bancaires, etc.).

Les étapes pour agir

Demandez des explications

Contactez l'organisme pour savoir si vos données sont concernées par la violation et quelles mesures ont été prises.

Envoyez une mise en demeure

Si l'organisme ne vous informe pas ou ne prend pas de mesures suffisantes, adressez une mise en demeure par lettre recommandée exigeant la notification complète et la description des mesures de protection.

Créer ma mise en demeure

Signalez à la CNIL

La CNIL peut vérifier que l'organisme a bien respecté ses obligations de notification et prononcer des sanctions.

Demandez réparation

Si vous avez subi un préjudice (fraude, usurpation d'identité), vous pouvez demander une indemnisation devant le tribunal.

Ce qu'il faut retenir

  • L'organisme doit vous notifier toute violation présentant un risque élevé pour vos droits.
  • La notification doit être claire et complète : nature de la violation, données concernées, mesures prises.
  • La CNIL sanctionne les manquements à l'obligation de notification.
  • Vous avez droit à une indemnisation si la violation vous a causé un préjudice.

Créer ma mise en demeure pour notification de violation

Pour aller plus loin

Consultez nos articles sur le droit d'accès et le droit à l'effacement, ou explorez la catégorie Numérique & Données Personnelles.

Pour signaler une violation, consultez le site de la CNIL.

Les informations contenues dans cet article sont fournies à titre informatif et ne constituent pas un conseil juridique personnalisé. En cas de doute sur votre situation, nous vous recommandons de consulter un avocat ou une association de consommateurs.

Questions fréquentes

Qu'est-ce qu'une violation de données personnelles ?

C'est une faille de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles. Cela inclut les piratages, les fuites de bases de données, les envois erronés de données, ou les pertes de supports contenant des données.

L'organisme est-il obligé de me prévenir en cas de violation ?

Oui, si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (usurpation d'identité, fraude financière, discrimination). L'organisme doit vous informer dans les meilleurs délais.

Quelles informations doit contenir la notification ?

La notification doit décrire la nature de la violation, les données concernées, les conséquences probables, les mesures prises ou envisagées, et les coordonnées du DPO ou du point de contact pour obtenir plus d'informations.

Puis-je obtenir une indemnisation en cas de violation de mes données ?

Oui. Si la violation vous a causé un préjudice (fraude, usurpation d'identité, anxiété), vous pouvez demander réparation devant le tribunal. L'organisme qui n'a pas mis en place les mesures de sécurité adéquates engage sa responsabilité.

Autres articles

Éducation & Formation3 min

Non-Délivrance de Diplôme ou Attestation : Vos Recours

Santé3 min

Retard de Transmission des Résultats d'Examens Médicaux

Immobilier & Location9 min

Travaux Non Réalisés par le Propriétaire : Vos Droits et Recours

Recevez nos conseils juridiques gratuits

Un email par semaine, pas de spam. Désabonnement en un clic.

Ce contenu est fourni à titre d'information générale et ne constitue pas un conseil juridique au sens de la loi n°71-1130 du 31 décembre 1971. Il peut ne pas refléter les évolutions législatives ou jurisprudentielles les plus récentes. En cas de doute sur votre situation, consultez un avocat ou un professionnel du droit.

← Tous les articles