Violation de Données Personnelles : Exigez la Notification
Vous apprenez par la presse ou par un tiers qu'une entreprise dont vous êtes client a subi un piratage. Vos données personnelles -- adresse, numéro de téléphone, données bancaires, mots de passe -- ont potentiellement été exposées. Et pourtant, l'entreprise ne vous a rien dit. Pas de notification, pas de recommandation, pas de mesure de protection.
Le RGPD impose aux organismes de vous notifier toute violation de données susceptible d'engendrer un risque élevé pour vos droits. Si cette obligation n'est pas respectée, une mise en demeure est le moyen de l'exiger et de protéger vos intérêts.
Comprendre vos droits
L'obligation de notification
Lorsqu'une violation de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement doit les en informer dans les meilleurs délais. Cette obligation s'ajoute à la notification obligatoire à la CNIL sous 72 heures.
Ce qui constitue un "risque élevé"
Un risque élevé existe notamment lorsque la violation peut entraîner une usurpation d'identité, une fraude financière, une atteinte à la réputation, une discrimination, ou la perte de confidentialité de données protégées par le secret professionnel. Les données sensibles (santé, opinions politiques, données biométriques) et les données financières sont particulièrement concernées.
Le contenu de la notification
L'organisme doit vous fournir une description claire de la violation, les catégories de données concernées, les conséquences probables, les mesures prises pour y remédier, et des recommandations pour vous protéger (changement de mot de passe, surveillance des comptes bancaires, etc.).
Les étapes pour agir
Demandez des explications
Contactez l'organisme pour savoir si vos données sont concernées par la violation et quelles mesures ont été prises.
Envoyez une mise en demeure
Si l'organisme ne vous informe pas ou ne prend pas de mesures suffisantes, adressez une mise en demeure par lettre recommandée exigeant la notification complète et la description des mesures de protection.
Signalez à la CNIL
La CNIL peut vérifier que l'organisme a bien respecté ses obligations de notification et prononcer des sanctions.
Demandez réparation
Si vous avez subi un préjudice (fraude, usurpation d'identité), vous pouvez demander une indemnisation devant le tribunal.
Ce qu'il faut retenir
- L'organisme doit vous notifier toute violation présentant un risque élevé pour vos droits.
- La notification doit être claire et complète : nature de la violation, données concernées, mesures prises.
- La CNIL sanctionne les manquements à l'obligation de notification.
- Vous avez droit à une indemnisation si la violation vous a causé un préjudice.
Créer ma mise en demeure pour notification de violation
Pour aller plus loin
Consultez nos articles sur le droit d'accès et le droit à l'effacement, ou explorez la catégorie Numérique & Données Personnelles.
Pour signaler une violation, consultez le site de la CNIL.
Les informations contenues dans cet article sont fournies à titre informatif et ne constituent pas un conseil juridique personnalisé. En cas de doute sur votre situation, nous vous recommandons de consulter un avocat ou une association de consommateurs.