Édictée le 6 janvier 1978, la loi informatique et liberté administre de manière juridique le traitement de toutes données à caractère personnel. Ce texte légal soumet aussi un large éventail d’obligations aux individus en charge de ce traitement.
Au cours des dernières années, la loi informatique et libertés a fait l’objet de nombreuses modifications. Aujourd’hui, le texte mis à jour reprend, en grande partie, les mesures imposées par le règlement européen en termes de protection de données personnelles, à savoir le RGPD.
Découvrez dans cet article tout ce qu’il y a à retenir sur la loi informatique et libertés.
1. Qu’est-ce que la loi informatique et libertés ?
En France, la loi informatique et libertés revêt une grande importance en termes de respect de la vie privée à l’ère du numérique. Elle joue un rôle fondamental dans la protection des données personnelles des internautes.
La loi informatique et libertés a été initialement publiée en 1978, lors de l’apparition de l’informatique. Différentes modifications y ont été apportées par la suite. L’adoption de la loi RGPD en 2019 a été la plus importante.
La loi informatique et libertés met en exergue différentes dispositions :
- L’obligation de certifier les fichiers pouvant contenir des données personnelles au niveau de la CNIL (Commission nationale de l’informatique et des libertés).
- L’interdiction de collecter des données sensibles (données de santé, politique, , religion…), sauf en cas d’exception.
- Le principe de collecte fidèle des données.
- L’obligation d’information aux personnes concernées par la collecte des données.
- L’obligation de sécuriser toutes les données collectées.
- Le droit d’accès, de suppression et de modification desdites données.
Il est à noter que la CNIL est une institution indépendante dont le rôle est d’assurer le respect de la vie privée, de l’identité humaine ainsi que des libertés dans le monde numérique.
L’une de ses missions consiste à veiller à ce que la loi de 1978 soit bien appliquée. Cet organe décisionnel veille donc au maintien des principes du droit informatique et libertés.
Bien entendu, la CNIL assure également d’autres tâches, telles que le suivi de l’évolution de cette législation. Elle fournit aux citoyens et à l’État toutes les informations relatives aux modifications du texte de loi dans un rapport annuel.
La CNIL, œuvrant en tant qu’autorité administrative indépendante, contrôle la conformité des traitements automatisés de données . Elle se réfère pour cela à la loi informatique et libertés.
Le règlement européen, régi par le RGPD, constitue la loi la plus importante à considérer lorsqu’il est question de traitement de données personnelles. Toutefois, la loi de 1978 a été conservée pour des raisons historiques : pour la protection des données personnelles en France.
Cela s’explique notamment par le fait que ce pays ait été l’un des précurseurs de l’élaboration de cette réglementation. Évidemment, certaines dispositions du RGPD y figurent.
Concrètement, la loi informatique et libertés renvoie aux obligations de la loi RGPD. Si une organisation ou une entreprise veut être en conformité avec l’ensemble de ces dispositions, elle doit, avant tout, respecter les mentions du RGPD. Elle pourra ensuite vérifier si son mode de traitement s’accorde avec ceux de la loi de 1978.
2. Le RGPD : définition
Le RGPD consolide les droits de l’ensemble des consommateurs. Il leur permet de se réapproprier leurs droits liés à leurs données personnelles. Ce règlement européen assure en effet la protection des personnes physiques à l’égard des traitements de données à caractère personnel.. Le RGPD abroge ainsi la directive européenne 95/46/CE en vigueur jusqu’au 24 mai 2018.
Le RGPD découle de la volonté de l’Union européenne à se conformer aux évolutions numériques. Elle a ainsi créé un nouveau cadre juridique en termes de protection de données personnelles. La directive 95/46/CE a donc été considérée comme obsolète par le législateur européen. Une mise à jour devait être effectuée étant donné que ladite directive a été transposée de manière différente par les pays membres de l’UE.
Le nouveau règlement européen en matière de protection des données à caractère personnel montre le besoin d’une harmonisation au niveau du continent européen. Son objectif consiste à consolider les droits des citoyens de l’Europe tout en responsabilisant les organismes et les entreprises traitant des données personnelles.
Il est à noter que la création du RGPD n’est pas la seule mesure prise par l’UE. L’on a aussi adopté la directive (UE) 2016/680 proposée par le Parlement européen et le Conseil du 27 avril 2016. Cette directive, appelée Directive Police Justice, met en évidence l’aspect pénal lié aux traitements des données personnelles. Ainsi, ces deux textes de loi constituent un package européen pour toute politique de protection de données.
La loi informatique et libertés du 6 janvier 1978 (loi n° 78-17) est la seule loi en vigueur jusqu’au 24 mai 2018. Elle avait adopté la directive européenne 95/46/CE. Ce texte est toujours en vigueur, mais a évolué pour s’adapter aux dispositions relatives au RGPD. La modification est imposée par la loi n° 2018-493 du 20 juin 2018.
Afin d’augmenter la lisibilité de la loi informatique et libertés, l’on a réalisé une restructuration via la publication de l’ordonnance n° 2018-1125 du 12 décembre 2018. Cependant, cette démarche était insuffisante pour assurer la mise en application de certaines dispositions.
Ainsi, le décret n° 2018-687 a été édicté le 1er août 2018. Il précède le décret n° 2019-536, publié le 29 mai 2019 et entré en vigueur le 1er juin de la même année. Ce texte de loi précise les différentes règles de procédure au niveau de la CNIL ainsi que les droits des individus concernés.
3. Quel est le champ d’application du RGPD ?
Le RGPD possède un champ d’application relativement large. Ce règlement s’applique aussi bien aux entreprises qu’aux associations et aux organismes publics. Ces structures peuvent être de toutes tailles et exercer des activités différentes. Elles sont concernées par le RGPD dès lors qu’elles traitent les données personnelles de citoyens européens.
Toutefois, l’applicabilité du règlement ne dépend pas du lieu d’établissement de l’organisme spécialisé ni de l’entreprise qui s’occupe du traitement des données. Depuis le 25 mai 2018, toutes structures traitant les données à caractère personnel d’internautes européens sont dans l’obligation de se référer au RGPD. Cette règle est valable même si la structure possède un siège social en dehors de l’UE.
4. Quels sont les grands principes du RGPD ?
Le RGPD repose sur plusieurs grands principes afin d’assurer au mieux le réglement général sur la protection des données personnelles des utilisateurs européens du numérique.
Absence de formalités
Auparavant, il fallait réaliser plusieurs formalités au niveau de la CNIL pour sécuriser des données à caractère personnel. C’était le cas jusqu’au 24 mai 2018. La procédure consistait essentiellement à réaliser des demandes d’autorisation préalables ou des déclarations.
Depuis le 25 mai 2018, chaque responsable des traitements ou sous-traitant est responsabilisé. Ce principe de responsabilisation implique le remplacement du système de postcontrôle intégrant ces démarches.
Concrètement, le contrôle du mode de traitement des données est devenu une simple appréciation effectuée en amont des risques en termes de protection de données. À cette analyse s’ajoute une réflexion par rapport aux mesures à mettre en application. Ces dernières peuvent être des mesures de sécurité pour pallier des failles de sécurité ou une optimisation de la durée de conservation des fichiers.
Éventuellement, certaines formalités préalables peuvent être nécessaires pour les données sensibles.
Maintien d’un registre de traitement
Les organismes et entreprises comptant plus de 250 salariés ont l’obligation de disposer d’un registre des traitements des données personnelles. Ce fichier doit être tenu sous une forme écrite (électronique ou papier). Cette mesure devient obligatoire pour les structures comptant moins de 250 salariés lorsqu’elles traitent des données sensibles.
Il peut également s’agir de données comportant un risque pour les libertés et droits des individus concernés. À celles-ci s’ajoutent les données liées à des infractions, sanctions pénales et condamnations (article 57 de la loi informatique et libertés et article 30 du RGPD).
Le registre de traitement se doit de recenser l’ensemble des activités nécessitant le traitement de données personnelles. C’est notamment le cas de la gestion de clients.
Ce document peut être tenu par une entreprise ou un sous-traitant pour le compte d’un organisme spécialisé en traitement. Son contenu est accessible au niveau du site internet de la CNIL. Il est possible d’y trouver un modèle de registre de traitement spécifique.
Principe « d’accountability » ou de responsabilisation
Deux notions constituent les fondements principaux du système de responsabilisation, selon l’article 25 du RGPD. Le premier est le concept « Privacy by default » ou la protection des données par défaut. La personne qui s’occupe du traitement veille à ne collecter que les informations strictement indispensables aux objectifs poursuivis par l’opération de traitement des données personnelles. Il est question de principe de minimisation de données.
Le second est le concept « Privacy by design » ou la protection des données dès la conception. Dans ce contexte, le responsable du traitement doit anticiper l’ensemble des contraintes juridiques en termes de protection de données personnelles. Cela doit s’effectuer dès la phase de définition du projet.
Information des individus physiques
Le RGPD met en évidence le besoin d’informer les personnes faisant l’objet d’une collecte de données. Le responsable en charge du traitement doit leur communiquer la démarche ainsi que les droits dont elles peuvent jouir.
Ces précisions peuvent être données sur un site web via une politique de protection des données disposant d’un caractère personnel. Elles peuvent également être fournies par le biais de clauses contractuelles. La liste de ces informations est mentionnée par les articles 12 et 13 du RGPD.
Le règlement européen met aussi en évidence une obligation de réponse aux demandes d’accès aux droits effectués par les personnes sujettes aux collectes de données personnelles. Le responsable du traitement doit signifier sa réponse dans un délai de 1 mois à partir de la réception d’une demande. Ce délai peut éventuellement être réévalué à 2 mois pour de nombreuses et complexes demandes, d’après l’article 12 du RGPD.
La personne responsable du traitement a également le devoir de fournir une information compréhensible, transparente et concise. Cette information se veut accessible au plus grand nombre, en étant constituée par des termes simples et clairs. Les renseignements sont donnés par écrit ou par l’intermédiaire d’autres moyens (voie électronique par exemple).
Si un individu en fait la demande, il lui sera possible d’envoyer les informations de manière orale (à condition que son identité soit confirmée). Cette confirmation s’effectue par d’autres moyens. Le rôle du responsable de traitement est de démontrer que cette personne a parfaitement rempli ses obligations.
Désignation d’un Data protection officer (DPO) ou d’un Délégué à la protection des données (DPD)
Le RGPD mentionne les exigences dans lesquelles un DPO ou un DPD doit être désigné par le sous-traitant et le responsable du traitement. Cela est évoqué dans l’article 57 de la loi informatique et libertés ainsi que l’article 37 du RGPD. Cette obligation concerne les organismes et les entreprises de toutes tailles et de toutes activités lorsque :
- les données sont traitées par un organisme public ou une autorité publique ;
- Ies traitements nécessitent un suivi systématique et régulier à grande échelle des individus concernés (de par leur portée, leurs finalités et/ou leur nature) ;
- les informations traitées sont sensibles, ou rattachées à des infractions (ou encore à des condamnations pénales) réalisées à grande échelle.
Il est à noter que le DPO ou DPD possède un rôle d’information et de conseil auprès du sous-traitant et du responsable de traitement. Cet intervenant doit également informer les salariés de leurs obligations en termes de protection de données personnelles. Il a aussi pour mission de veiller à ce que les lois relatives à la sécurisation des données à caractère personnel soient respectées.
Étude d’impact
Une analyse d’impact est indispensable lorsque les opérations de traitement sont susceptibles de générer un risque élevé au niveau de la liberté et des droits des individus physiques.
Cette étude est prise en charge par le responsable du traitement dans le cas de manipulation de données sensibles, de profilage ou de scoring. Cette obligation est mentionnée dans l’article 35 du RGPD ainsi que dans l’article 62 de la loi informatique et libertés.
5. À quoi correspondent les données à caractère personnel ?
Le traitement des données à caractère personnel est régi par la loi de 1978. Ces informations personnelles s’apparentent à toutes les données permettant d’identifier directement ou indirectement une personne physique identifiable ou identifiée. Cette définition est mentionnée dans l’article 4 RGPD.
Ainsi, on considère les éléments suivants comme des informations personnelles :
- Noms
- Prénoms
- Dates de naissance
- Numéros de téléphone professionnels ou personnels
- Adresses mail professionnelles ou personnelles
- Adresses IP (combinées avec d’autres données)
- Cookies
- Numéros de carte de paiement
- Identifiants numériques
- Numéros de sécurité sociale
- Plaques d’immatriculation
Concrètement, les informations à caractère personnel renvoient à des éléments propres à l’identité. Cette dernière peut être physique, génétique, économique, psychique, physiologique, sociale ou culturelle.
On parle de traitement des données personnelles quand une information à caractère personnel est manipulée manuellement ou informatiquement grâce à différents types d’opérations.
Selon l’article 4 RGPD, on distingue la collecte, la consultation, la modification, l’effacement, la diffusion, la conservation et l’enregistrement. Ces opérations sont souvent nécessaires dans plusieurs cas de figure :
- L’envoi de mails promotionnels.
- L’administration des salaires et la gestion du personnel.
- L’affichage ou la publication d’une photo d’un individu sur un site web.
- L’enregistrement de la vidéosurveillance.
- La conservation d’adresses IP.
- La consultation d’une base d’informations de contacts contenant des données personnelles.
Chaque traitement est effectué par un sous-traitant ou un responsable de traitement. Cet intervenant se charge de définir les moyens ainsi que les finalités des traitements.
6. Quelles sont les informations auxquelles vous devez faire attention ?
Les données qui circulent sur les plateformes numériques sont nombreuses et variées. Toutefois, certaines seront plus importantes que d’autres, surtout si vous souhaitez conserver vos droits et libertés sur vos informations personnelles.
Les finalités déterminées
Les données personnelles sont à traiter de façon transparente, loyale et licite au regard d’une personne physique. Ces informations sont alors à collecter pour répondre à des finalités légitimes et explicites, mais surtout déterminées. Leur traitement doit toujours s’accorder aux finalités prévues.
L’article 4 de la loi informatique et libertés et l’article 5 du RGPD le définissent. A contrario, l’organisme ou l’entreprise traitant les données peut être sanctionné d’une amende de plusieurs milliers d’euros.
La durée de conservation des données
La durée de conservation des informations personnelles doit correspondre au délai préalablement prévu à leurs traitements. Le dépassement de ce délai n’est pas toléré. Cette durée peut éventuellement être définie par la loi. Par exemple, la conservation des images ne peut excéder 1 mois dans une structure dotée d’un système de vidéosurveillance.
La durée de conservation des informations peut également être déterminée par la personne chargée du traitement. Elle sera définie en fonction des objectifs poursuivis et de la nature des données. Par exemple, il est possible de supprimer un fichier de prospect n’ayant pas répondu aux sollicitations d’une entreprise depuis plus de 3 ans.
Le consentement
Toute personne est en droit et doit signifier son consentement pour que ses données personnelles soient traitées. Ce consentement sera recueilli par le responsable de traitement avec preuve à l’appui. L’individu ayant consenti au traitement pourra évidemment retirer son approbation à tout moment.
Remarque : le consentement ne constitue pas le seul critère juridique valable lors de la gestion des données personnelles. Le RGPD met aussi en évidence l’existence d’autres fondements juridiques susceptibles de permettre la validation d’un traitement.
D’après les articles 6 et 7 de ce règlement européen, l’approbation d’un traitement pourra s’effectuer si cela répond à des intérêts légitimes. C’est également le cas lorsqu’il est nécessaire de respecter une obligation légale ou une exécution de contrat.
Toutefois, la notion d’intérêt légitime reste indéfinissable. Cette dernière étant floue, la justification de l’absence de recueil de consentement devient valable. Bien entendu, une définition exacte pourrait être précisée par la jurisprudence.
En ce qui concerne le consentement des mineurs à un traitement de leurs données à caractère personnel, un âge légal a été fixé pour la protection des données personnelles France.
Les moins de 15 ans doivent, en plus de leur consentement, obtenir celui d’un garant. Il s’agit d’une ou de plusieurs personnes ayant l’autorité parentale sur les concernés, comme l’explique l’article 45 de la loi informatique et libertés.
Les données sensibles
Les informations considérées sensibles doivent être traitées avec le consentement explicite des individus concernés. A contrario, l’article 6 de la loi de 1978 et l’article 9 du RGPD formulent une interdiction formelle de ce type d’opération. Les données sensibles désignent des informations en rapport avec :
- les opinions d’ordre politique ;
- l’origine ethnique ou raciale ;
- l’appartenance syndicale ;
- les convictions philosophiques ou religieuses ;
- la vie sexuelle et la santé.
Il existe des cas exceptionnels où le traitement des informations sensibles n’est pas obligatoire. Cela est valable pour les intérêts vitaux, les motifs d’intérêt public de grande importance et le droit du travail.
Les cookies
Les cookies s’apparentent à des traceurs de navigation. Ces derniers analysent les habitudes de consommation ou de consultation, les déplacements ainsi que la navigation de chaque internaute.
La personne qui se charge du traitement doit informer ce dernier de l’existence de ces cookies et du type utilisé. En effet, il existe des typologies de cookies nécessitant un consentement préalable (ceux qui sont liés à la publicité par exemple).
La directive européenne 2002/58/CE du juillet 2002 portant sur la Vie privée et les communications électroniques régit l’ensemble des cookies. Toutefois, cette directive pourrait se voir remplacée par le règlement européen ePrivacy. Ce dernier prévoit un renforcement du régime applicable aux traceurs de navigation.
Le profilage
On parle de profilage lorsqu’on utilise des données personnelles pour prédire les comportements d’un individu. Ces prédictions concernent ses habitudes de consommation, sa localisation ou encore ses futurs choix. Chaque consommateur est alors en droit de refuser ce type de démarche. Bien entendu, un profilage peut s’avérer :
- utile et autorisé par la loi,
- indispensable à l’exécution ou à la conclusion d’un contrat,
- être en adéquation avec le consentement explicite de l’individu concerné.
Cela est confirmé par l’article 22 du RGPD.
Le transfert des données en dehors de l’UE
Le transfert des données personnelles constitue un véritable point de vigilance pour chaque consommateur. C’est surtout valable en dehors de l’Union européenne. Transférer des informations à caractère personnel vers l’étranger exige un niveau de sécurisation de données approprié et suffisant. Aboutir à cet objectif est le rôle du sous-traitant ou du responsable de traitement.
7. Quels sont vos droits sur vos données personnelles ?
Chaque consommateur possède un large éventail de droits informatiques et libertés sur ses données à caractère personnel. Ces droits se présentent principalement sous forme d’informations concises et claires.
Droit à l’information
Les articles 13 et 14 du RGPD mettent en exergue l’obligation du responsable de traitement durant les opérations de collecte de vous indiquer :
- ses coordonnées ou son identité (ou ceux de son représentant) ;
- les informations du DPD ;
- la base et les finalités juridiques du traitement ;
- les intérêts légitimes sur lesquels se fondent le traitement et leur description ;
- le consentement explicite sur lequel se fonde le traitement et la possibilité de jouir d’un droit de retrait à tout instant ;
- les catégories de destinataires ou les destinataires ;
- la durée de conservation des informations ;
- la possible existence d’un transfert de données personnelles hors UE ainsi que les garanties de sécurisation appliquées ;
- l’éventualité de pouvoir exercer vos droits sur vos informations personnelles ;
- l’éventualité d’un profilage ;
- la possibilité de réaliser une réclamation au niveau de la CNIL ;
- le caractère obligatoire et contractuel ou réglementaire de la collecte des informations;
L’éventualité des traitements ultérieurs des données pour une finalité différente de celle prévue lors de la collecte doit être également mentionnée auprès du propriétaire des données.
Droit d’accès
Ce droit est régi par l’article 49 de la loi de 1978 et l’article 15 du RGPD. Il vous permet de :
- obtenir la confirmation du traitement ou non de vos informations personnelles de la part du responsable de traitement ;
- consulter les informations relatives à vos données (celles du droit à l’information).
Il est à noter que la personne chargée du traitement doit vous remettre une copie lisible de vos données personnelles traitées.
Droit d’opposition
Régi par l’article 56 de la loi informatique et liberté et l’article 21 du RGPD, ce droit vous permet d’interdire à tout moment le traitement de vos informations personnelles. C’est valable dans le cadre des prospections commerciales.
Droit à la limitation de traitement
L’article 53 du texte de loi de 1978 et l’article 18 du RGPD vous permettent d’exiger la limitation de la gestion de vos données si :
- le traitement est illicite et vous ne souhaitez pas effacer vos informations personnelles, mais uniquement limiter leur usage.
- la véridicité d’une information personnelle est contestée et nécessite une vérification.
- les informations personnelles ne sont plus indispensables aux objectifs de traitement, mais restent nécessaires pour défendre, exercer ou constater vos droits en justice.
Droit de rectification
L’article 50 de la loi de 1978 et l’article 16 du RGPD vous donnent le droit d’exiger que vos informations personnelles soient rectifiées rapidement. Cela deviendra effectif si ces données sont incomplètes ou inexactes.
Droit à l’oubli ou à l’effacement
Selon l’article 51 de la loi informatique et libertés et l’article 17 du RGPD, vous pouvez demander l’effacement de vos informations personnelles. Toutefois, vous pourrez essuyer un refus de la part du responsable de traitement si le traitement est prévu pour :
- des raisons de santé publique ;
- un besoin d’archivage (intérêt public ou recherches statistiques, historiques ou scientifiques) ;
- l’exercice de votre droit à la liberté d’expression et d’informations.
Droit à la portabilité
Vous pouvez récupérer vos informations personnelles pour les transférer à une autre structure ou pour un usage personnel. Les données vous seront proposées dans un format lisible et utilisable par machine. Cela est évoqué par l’article 55 de la loi informatique et libertés et l’article 20 du RGPD.
Droit de faire une réclamation à la CNIL ou une action en groupe
D’après l’article 77 du RGPD, il vous est possible de faire une réclamation au niveau de la CNIL. C’est le cas lorsque vous pensez que le traitement de vos informations personnelles s’apparente à une violation du règlement européen.
L’article 80 du RGPD indique la possibilité d’entreprendre une action de groupe ou un recours juridictionnel contre la personne traitant vos données. Vous pouvez aussi mandater une association, une organisation ou un organisme à but non lucratif pour vous représenter.
Droit de saisine directe du DPD
Selon l’article 38.4 du RGPD, le DPD d’un organisme ou d’une entreprise peut être saisi directement lorsqu’il a été désigné pour l’exercice de vos droits. Il vous est possible de trouver ses coordonnées dans vos contrats ou sur Internet. Ces informations sont indiquées dans les mentions ou les clauses relatives à la politique de protection des données personnelles.
Droit d’accès après décès
Les informations personnelles peuvent être organisées après un décès, d’après la loi pour une République numérique (loi n° 2016-1321). Ce droit vous donne la possibilité d’émettre des directives quant à la communication, à l’effacement et à la conservation de vos données après votre mort. Il est codifié dans l’article 40-1 du texte de loi de 1978.
8. Quelles sont les obligations des entreprises ?
En termes de protection des données personnelles, les entreprises ont plusieurs responsabilités vis-à-vis de leurs prospects. Elles doivent notamment respecter le principe régissant la sécurisation des informations à caractère personnel. Ce respect concerne aussi la vie privée et constitue une obligation légale dès la conception d’un projet.
Chaque établissement professionnel se voit également dans l’obligation de recenser l’ensemble des traitements qu’il effectue via un registre de traitement. Par ailleurs, il doit être en mesure d’offrir, aux propriétaires des informations traitées, la possibilité d’exercer leurs droits. Ces personnes devront être informées de façon concise et claire de la conservation de leurs données. Cette obligation d’information concerne notamment :
- leurs droits ;
- leurs voies de recours possibles ;
- l’existence éventuelle de profilage.
Toute entreprise se doit de désigner un DPD si son activité principale lui demande d’effectuer un suivi systématique et régulier de ces prospects à grande échelle. Cette obligation est également valable pour les organismes traitant des données liées à des infractions et à des condamnations pénales. Il en est de même pour les organismes publics.
Une société est souvent amenée à adhérer à des codes de conduite et à obtenir une certification dans le cadre d’un traitement de données numériques. Ces démarches deviennent nécessaires dès lors qu’elle souhaite se mettre en conformité avec la loi. Cela lui permet, par la même occasion, de prouver que ces opérations de traitement sont licites.
Le sous-traitant ou le responsable de traitement en charge de la gestion des informations personnelles se doit d’effectuer une étude d’impact. Cela devient effectif si les traitements en question sont à risque et peuvent compromettre la vie privée des personnes concernées. De plus, toute violation de ces données doit être notifiée à ces dernières.
Plus concrètement, les entreprises doivent assurer la sécurité informatique et physique de chaque information. Des mesures organisationnelles et techniques devront être prises. L’idée est de mettre en place un niveau de sécurisation en adéquation au risque. Il est possible d’envisager le chiffrement des informations personnelles ou la fermeture des portes à clef.
Toute faille de sécurité peut porter atteinte aux libertés individuelles d’une personne. La CNIL doit alors être notifiée du problème constaté 72 heures au plus tard. Si le risque est élevé (usurpation d’identité par exemple), la violation des informations personnelles doit être indiquée à l’individu concerné. Cela doit s’effectuer rapidement, comme le mentionnent les articles 33 et 34 du RGPD.
