Besoin d'aide

Règlement européen : quand faut-il notifier une violation de données à la CNIL ?

  • Vous avez mis en oeuvre un traitement de données personnelles.
  • Ces données ont fait l'objet d'une violation : perte de disponibilité, d'intégrité ou de confidentialité, de manière accidentelle ou illicite.
  • Cet incident constitue un risque au regard de la vie privée des personnes concernées. 
Vous devez le notifier à la CNIL dans les meilleurs délais, au plus tard dans les 72 heures, en utilisant notre téléservice de notification de violations.

Attention ! 
  • Si l'incident constitue un risque élevé pour la vie privée des personnes concernées, vous devez également notifier l'incident aux personnes concernées.
  • En cas de doute, notifiez l'incident à la CNIL qui vous indiquera s'il est nécessaire d'informer les personnes.
Important : préparer votre notification en documentant l'incident en interne. Vous devez déterminer :
  • La nature de la violation.
  • Si possible, les catégories et le nombre approximatif de personnes concernées par la violation.
  • Les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés.
  • Les conséquences probables de la violation de données ;
  • Les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

A savoir : vous pouvez procéder à une notification en deux temps :
  • Une notification initiale dans les meilleurs délais à la suite de la constatation de la violation.
  • Puis, après avoir réuni toutes les informations requises, une notification complémentaire dans le délai de 72 heures si possible après la notification initiale.
  • Si le délai de 72 heures est dépassé, il conviendra d'expliquer, lors de votre notification, les motifs du retard.

Cette réponse vous convient-elle ?


Vous n'avez pas trouvé de réponse ?