Le principe : si vous subissez une violation de données personnelles, vous devez la notifier à la CNIL dans un délai de 72 heures après en avoir pris connaissance.

L’exception : vous n’avez pas d’obligation de notifier cette violation de données personnelles à la CNIL si elle ne risque pas d’engendrer de risque pour les droits et libertés des personnes physiques.

En 2022, la CNIL a reçu 4 088 notifications de violations de données.

Elle a diligenté 345 contrôles.

1/3 des sanctions prononcées comportait un manquement à la sécurité des données personnelles.

La CNIL indique avoir réalisé 42 vérifications à la suite de signalements de violations de données afin de les faire cesser dans un délai très restreint mais il n’est pas précisé s’il s’agissait de notifications de violations de données ou de signalements par des personnes tiers.

Ces chiffres prouvent donc bien que ce n’est pas car vous notifiez une violation de données personnelles, que la CNIL va pour autant diligenter un contrôle.

En revanche, le fait de ne pas notifier de violation de données personnelles à la CNIL alors que vous auriez dû le faire peut déclencher un contrôle, comme le prouve la dernière décision de la CNIL.

Un article de presse était paru, révélant une violation de données personnelles d’une société. Cette violation de données personnelles n’avait pas été notifiée à la CNIL. La CNIL a diligenté un contrôle, qui a aboutit à 150 000 euros d’amende.

Si vous subissez une violation de données personnelles et qu’elle est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, notifiez-la à la CNIL. Vous risquez davantage un contrôle de la CNIL si vous ne la notifiez pas que si vous la notifiez !

Vous cherchez un avocat RGPD pour votre mise en conformité au RGPD ? Contactez-moi.