Le texte de l’article 34 – Communication à la personne concernée d’une violation de données à caratère personnel
”Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d). … ”
article 34
L’analyse de l’article : Communication à la personne concernée d’une violation de données à caratère personnel
Dans le prolongement de l’article 33 qui généralise l’obligation de signalement d’une atteinte aux données à l’autorité de contrôle (CNIL), au plus tard dans les 72 heures après la découverte de ces faits, le législateur a souhaité rendre obligatoire une communication à la personne concernée (Vos clients, le propriétaire du compte) d’une violation de données à caractère personnel.
L’ article 34 du RGPD indique que ce signalement doit intervenir quand une violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.
Le responsable doit lui informer la personne cette violation dans les meilleurs délais.
Que communiquer?
La communication doit être faite dans des termes compréhensibles et contenir à minima :
- une description de la nature des faits délictueux
- les références relatives au délégué à la protection des données (DPO) ou autre référent, auprès duquel des informations peuvent être obtenues
- les conséquences inévitables de la violation de ces données et informations personnelles
- les solutions déjà mises en oeuvre ou que le responsable va devoir prendre pour remédier à ce risque de violation et pour en atténuer les répercussions négatives.
Dans quelles conditions?
L’ article 34 du RGPD, dans son alinéa 3, définit trois conditions dans lesquelles la communication aux personnes n’est pas nécessaire en cas de violation :
- si le responsable a pris des mesures de protection appropriées notamment celles qui rendent incompréhensibles les données pour toutes les personnes qui n’ont pas été autorisées à y avoir accès (par exemple le Chiffrement)
- ou s’il a pris, ultérieurement des décisions garantissant que le risque d’atteinte aux données personnelles n’est plus susceptible de se produire
- enfin si la communication à la personne concernée d’une violation de données à caractère personnel exige des effets disproportionnés. Dans ce cas, le RGPD prévoit une communication publique.
L’article 34 prévoit de plus, que même si la notification de la violation n’est pas obligatoire, l’autorité de contrôle peut l’exiger, si elle estime qu’il existe une probabilité de risque important pour les personnes concernées.
Le législateur à laissé à chacun l’appréciation de la notion de risque élevé ainsi que celle d’effets disproportionnés et ces notions feront donc probablement l’objet d’une abondante jurisprudence qui confirmera et déterminera la nature de ces obligations.
