Vous vous êtes trompé de destinataire : vous avez envoyé un email à un client, avec des informations sur un autre client.
Si ce mail contient des données personnelles, par exemple un nom, prénom, une adresse mail, il s’agit d’une violation de données. Ces données personnelles ont été rendues accessibles à une personne qui n’aurait pas dû avoir à en connaître.
Or, vous avez l’obligation de notifier les violations de données à la CNIL dans un délai de 72 heures à compter de sa prise de connaissance.
Il y a une exception : vous n’êtes pas obligé de notifier cette violation de données si celle-ci ne présente pas de risque pour les droits et libertés des personnes concernées.
Pour évaluer ce risque, plusieurs critères doivent être pris en compte dont le nombre de personnes concernées, le type de données à caractère personnel concernées, les dommages potentiels pour les personnes concernées, etc.
Si le risque pour les droits et libertés des personnes physiques est élevé, il faudra informer les personnes concernées de la violation de données.