arrow_back Retour à tous les articles

Article 34
Communication à la personne concernée d'une violation de données à carcatère personnel

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 34 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 34 keyboard_arrow_up

(85) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

(87) Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en oeuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 34.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive ne prévoyait pas d’obligation de notification en cas d’une violation des données à caractère personnel (« data breach »). Par contre, le système était prévu par la Directive 2002/58/CE sur la vie privée et les communications électroniques et coulé dans le Règlement n°611/2013 concernant les mesures relatives à la notification des violations de données à caractère personnel.

Belgique

Le droit belge a implémenté le système de notification d’une violation des données à caractère personnel en matière de communication électronique, à l’article 114/1 de la loi du 13 juin 2005 relative aux communications électroniques. Seules les violations de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier, obligent l'entreprise fournissant des services de communications électroniques accessibles au public à avertir sans délai l'abonné ou le particulier concerné de la violation.

France

En droit français, le système de notification en cas de violation des données à caractère personnel en matière de communication électronique a été introduit à l’article 34 bis de la loi Informatique et Libertés. Selon cette disposition, seules les violations susceptibles de porter atteinte aux données ou à la vie privée d’un abonné doivent, en principe, faire l’objet d’une communication à la personne concernée.

Où va-t-on ?

Contrairement à la notification à l’autorité de contrôle (cfr. l’article 33), la version finale du Règlement n’oblige le responsable à notifier à la personne concernée que les violations de données susceptibles d’exposer les personnes physiques à un risque élevé (« high risk ») à leurs droits et libertés.

L’article 34 détermine également le contenu de la notification à la personne concernée, qui est d’ailleurs très proche de celui de la notification de l’article 33 auquel il est largement renvoyé (cfr. art 34, § 2). La version finale du Règlement précise à cet égard que la communication doit être effectuée dans un langage clair et simple.

Le délai diverge quelque peu de la notification à l’autorité de contrôle puisque l’article 34 §1er in fine indique seulement qu’il faut y procéder « sans retard injustifié ». L’idée est que les personnes doivent sans retard prendre le cas échéant les mesures qui s’imposent afin de faire cesser ou atténuer les effets négatifs pouvant découler de la violation des données (cfr le considérant 85).

L’article 34 §3 prévoit par contre des exceptions à la notification aux personnes :

- Si le responsable a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et que ces dernières ont été appliquées aux données affectées par ladite violation, en particulier celles qui rendent les données incompréhensibles à toute personne non autorisée, telles que le chiffrement (a) ;

- Ou si le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé au regard des droits et des libertés des personnes concernées n'est plus susceptible de se matérialiser (b) ;

- Ou si elle risque d'entraîner des efforts disproportionnés. Dans ce cas, il convient plutôt de procéder à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace (c).

Initialement, selon la seconde proposition de Règlement, la notification n’était pas nécessaire si elle risquait de porter atteinte à un intérêt public important. Cette exception qui laissait, à notre estime, une trop grande marge de manœuvre au responsable, a toutefois été supprimée dans la version finale du Règlement.

Enfin, la version finale du Règlement ajoute un 4e paragraphe à l’article 34 conférant à l’autorité de contrôle le pouvoir d’exiger du responsable une communication aux personnes concernées, compte tenu de la probabilité que la violation entraine un risque élevé pour les personnes concernées. Cette disposition reconnaît également à l’autorité de contrôle le pouvoir d’apprécier si la notification à la personne concernée est nécessaire, au regard des exceptions prévues à l’article 34, § 3 du Règlement.

Difficultés probables

On peut ici craindre les difficultés générées par la question de l’appréciation du « risque élevé» donnant lieu à une notification en cas de violation des droits et libertés des personnes concernées.

La difficulté réapparait lors de l’appréciation des exceptions à la notification de la violation. Ces exceptions –principalement la première et la dernière- sont peu claires tout en laissant une (trop) large manœuvre d’appréciation au responsable du traitement.

En d’autres termes, il incombera au responsable d’apprécier lui-même si la communication à la personne concernée d’une violation de données est nécessaire, compte tenu des mesures technologiques et organisationnelles appliquées ainsi que des mesures prises ultérieurement visant à empêcher la matérialisation du risque ou encore si cette communication implique des efforts disproportionnés.

Toutefois, la version finale tente partiellement de remédier aux conséquences négatives qui pourraient résulter de l’absence de notification aux personnes puisque les autorités de contrôle ont le pouvoir d’exiger une notification, ainsi que le pouvoir d’apprécier si l’une des exceptions à la notification est ou non rencontrée en l’espèce, se substituant ainsi au responsable du traitement, sans que cela exclut une éventuelle responsabilité de ce dernier.

Règlement
1e 2e

Art. 34

1. Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 33, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personn el incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être info rmées de manière tout aussi efficace.

4. Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

Proposition 1 close

1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée.

2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 31, paragraphe 3, points b) et c).

3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

4. Sans préjudice de l’obligation du responsable du traitement de communiquer à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel. 6. La Commission peut définir la forme de la communication à la personne concernée prévue au paragraphe 1 et les procédures applicables à cette communication. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. Lorsque la violation de données à caractère personnel est susceptible d'exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés , par exemple une discrimination, un vol ou une usurpation d'identité, une perte financière, une atteinte à la réputation, un renversement non autorisé de la pseudonymisation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important, le responsable du traitement (...) en adresse notification sans retard injustifié à la personne concernée.

2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation de données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 31, paragraphe 3, points b), e) et f).

3. La communication (…) à la personne concernée (…), visée au paragraphe 1, n'est pas nécessaire si:

a. le responsable du traitement (…) a mis en œuvre les mesures de protection technologiques et organisationnelles appropriées et que ces dernières ont été appliquées aux données affectées par ladite violation, en particulier celles qui rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès, telles que le cryptage;

 ou b. le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé au regard des droits et des libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

ou c. elle risque d'entraîner des mesures disproportionnées, eu égard notamment au nombre de cas concernés. Dans ce cas, il convient plutôt de procéder à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace;

ou d. elle risque de porter atteinte à un intérêt public important.

4. (…)

5. (…)

6. (…)

Directive

RÈGLEMENT (UE) No 611/2013 DE LA COMMISSION du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques

Art. 3

1.   Lorsque la violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier, le fournisseur, en plus de la notification visée à l’article 2, notifie également la violation à l’abonné ou au particulier.

2.   Il est déterminé si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier en prenant notamment en compte les éléments suivants:

a) la nature et la teneur des données concernées, en particulier s’il s’agit de données relatives à des informations financières, de catégories de données particulières visées à l’article 8, paragraphe 1, de la directive 95/46/CE ainsi que de données de localisation, fichiers journaux internet, historiques de sites web consultés, données relatives au courrier électronique et listes d’appels téléphoniques détaillées;

b) les conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, notamment les cas où la violation pourrait entraîner un vol ou une usurpation d’identité, une atteinte à l’intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation; et

c) les circonstances de la violation de données à caractère personnel, en particulier l’endroit où les données ont été volées ou le moment auquel le fournisseur sait que les données sont en possession d’un tiers non autorisé.

3.   La notification à l’abonné ou au particulier est effectuée sans retard injustifié après constat de la violation de données à caractère personnel tel que défini à l’article 2, paragraphe 2, troisième alinéa. Cela est indépendant de la notification de la violation de données à caractère personnel à l’autorité nationale compétente, visée à l’article 2.

4.   Le fournisseur fournit les informations visées à l’annexe II dans sa notification à l’abonné ou au particulier. La notification à l’abonné ou au particulier est rédigée dans une langue claire et aisément compréhensible. Le fournisseur n’utilise pas la notification comme un moyen de promouvoir ou d’annoncer des services nouveaux ou supplémentaires.

5.   Dans certains cas exceptionnels, s’il y a un risque que la notification à l’abonné ou au particulier nuise à l’efficacité de l’enquête sur la violation de données à caractère personnel, le fournisseur est autorisé, après avoir obtenu l’accord de l’autorité nationale compétente, à retarder la notification jusqu’au moment où ladite autorité juge possible de notifier la violation conformément au présent article.

6.   Le fournisseur notifie la violation de données à caractère personnel à l’abonné ou au particulier par des moyens de communication qui garantissent une réception rapide de l’information et qui sont sécurisés conformément aux règles de l’art. Les informations concernant la violation se limitent à celle-ci et ne sont pas associées à des informations concernant autre chose.

7.   Si le fournisseur directement lié par contrat avec l’utilisateur final, malgré les efforts raisonnables déployés, n’est pas en mesure d’identifier dans le délai fixé au paragraphe 3 toutes les personnes susceptibles d’être lésées par la violation de données à caractère personnel, il peut, dans le même délai, informer ces personnes par des avis dans de grands médias nationaux ou régionaux dans les États membres concernés. Ces avis contiennent les informations visées à l’annexe II, si nécessaire sous une forme condensée. Dans ce cas, le fournisseur continue à déployer tous les efforts raisonnables pour identifier ces personnes et leur notifier dès que possible les informations visées à l’annexe II.

France

Art. 34 bis

(…).

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé.

La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.

A défaut, la Commission nationale de l'informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés.

III. - Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.

Belgique

Art. 114/1.

(….)

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier, l'entreprise fournissant des services de communications électroniques accessibles au public avertit également sans délai l'abonné ou le particulier concerné de la violation. La Commission de la protection de la vie privée examine si l'entreprise se conforme à cette obligation et informe l'Institut lorsqu'elle estime que cela n'est pas le cas.

La notification d'une violation des données à caractère personnel à l'abonné ou au particulier concerné n'est pas nécessaire si l'entreprise fournissant des services de communications électroniques accessibles au public a prouvé, à la satisfaction de l'Institut, qu'elle a mis en oeuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

Sans préjudice de l'obligation de l'entreprise fournissant des services de communications électroniques accessibles au public d'informer les abonnés et les particuliers concernés, si l'entreprise fournissant des services de communications électroniques accessibles au public n'a pas déjà averti l'abonné ou le particulier de la violation de données à caractère personnel, l'Institut peut, [2 à la demande de la Commission de la protection de la vie privée,]2 après avoir examiné les effets éventuellement négatifs de cette violation, exiger d'elle qu'elle s'exécute.

La notification faite à l'abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à [2 la Commission de la protection de la vie privée]2 décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par l'entreprise fournissant des services de communications électroniques accessibles au public pour y remédier.

§ 4. Sous réserve de mesures techniques d'application éventuelles émanant de la Commission européenne conformément à l'article 4, point 5, de la Directive 2002/58/CE, et après avis de la Commission de la protection de la vie privée, l'Institut peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles les entreprises fournissant des services de communications électroniques accessibles au public sont tenues de notifier la violation de données à caractère personnel [2 ...]2.

  [2 Sous réserve de mesures techniques d'application éventuelles émanant de la Commission européenne conformément à l'article 4, point 5, de la Directive 2002/58/CE, et après avis de l'Institut, la Commission de la protection de la vie privée peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant le format applicable à cette notification et sa procédure de transmission.]2

Les entreprises fournissant des services de communications électroniques accessibles au public tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, [2 de sorte que la Commission de la protection de la vie privée et l'Institut puissent vérifier le respect des dispositions du paragraphe 3]2. Cet inventaire comporte uniquement les informations nécessaires à cette fin.]1

 

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK