Exceptions à l’obligation d’informer une personne en cas de violation de ses données personnelles

Actualité

Le règlement général sur la protection des données (RGPD) (cf. 1) prévoit en son article 34 qu’une personne concernée par une violation de données a le droit d’en obtenir communication dès lors que la violation est susceptible d’engendrer un risque élevé pour ses droits et libertés.

Cependant, ce texte prévoit trois exceptions où cette communication n’est pas nécessaire :

  • lorsque le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées ;
  • le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n'est plus susceptible de se matérialiser ;
  • lorsque cette communication exigerait des efforts disproportionnés.

L’article 40 de la loi Informatique et Libertés, complété par la loi n° 2018-493 du 20 juin 2018, précise les catégories de traitements autorisés à déroger au droit à la communication d'une violation de données. Il s’agit de ceux pour lesquels la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

Cependant cette dérogation n'est applicable qu'aux seuls traitements de données à caractère personnel nécessaires au respect d'une obligation légale qui requiert le traitement de ces données ou à l'exercice d'une mission d'intérêt public dont est investi le responsable de traitement.

L’article 27 du décret d’application(cf. 2) de la dernière version de la loi Informatique et Libertés précise quels sont les traitements concernés par cette dérogation :

  • « Les traitements comportant des données à caractère personnel susceptibles de permettre, directement ou indirectement, d'identifier des personnes dont l'anonymat est protégé au titre de l'article 39 sexies de la loi du 29 juillet 1881 sur la liberté de la presse » ;
  • « Les traitements de données de gestion administrative, financière et opérationnelle ainsi que les traitements de données de santé pour lesquels la notification d'une divulgation ou d'un accès non autorisé est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique au regard du volume des données concernées par la violation et des informations relatives à la vie privée qu'elles comportent telles que l'adresse ou la composition de la famille. »

 

  1. Règlement (UE) 2016/679 du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
  2. Décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

Pour aller plus loin

Mis à jour le 03/09/2018
Conseil juridique

Bénéficiez de conseils juridiques délivrés par une équipe de juristes pluridisciplinaires, experts des problématiques de l'entrepreneuriat et du développement des TPE-PME.