Devez-vous être averti lorsque qu’il y a une fuite de données au sein de l’entité qui traite vos données ? (Art. 34 RGPD)

L'article 34 du RGPD reprend les modalités et conditions applicables à la communication d’une brèche de sécurité aux personnes qui sont touchées par cette brèche.

Lorsqu'une brèche de sécurité est susceptible d'engendrer un risque élevé pour vos droits et libertés, l’entité qui traite vos données (appelée « responsable de traitement ») devra vous communiquer cette brèche de sécurité dans les meilleurs délais.

La communication qui vous sera faite devra décrire, en des termes clairs et simples, la nature de la violation de données personnelles et contenir au moins les informations et recommandations suivantes :

  • le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  • une description des conséquences probables de la violation de données à caractère personnel
  • une description des mesures prises ou que l’entité propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si l’entité qui traite vos données ne vous communique pas la brèche de sécurité dont elle a fait l’objet, nous pourrions, en tant qu’autorité de contrôle, après examen de cette brèche, exiger de l’entité qu'elle procède à cette communication.

Il existe néanmoins des exceptions à l’obligation de communication. En effet, l’entité qui traite vos données ne devra pas vous communiquer la brèche si l'une ou l'autre des conditions suivantes est remplie :

  • l’entité qui traite vos données a mis en œuvre les mesures de protection techniques et organisationnelles et ces mesures ont été appliquées aux données personnelles affectées par ladite brèche, en particulier les mesures qui rendent les données personnelles incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;
  • l’entité qui traite vos données a pris des mesures ultérieures qui garantissent que le risque élevé pour vos droits et libertés n'est plus susceptible de se matérialiser;
  • elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire vous permettant d'être informé de manière tout aussi efficace.