L’obligation de notification d’une violation à l’Autorité de protection des données s’applique dès lors qu’il existe un risque pour les droits et libertés de la personne concernée.
Cette notification doit être réalisée par le responsable du traitement, en collaboration avec le délégué à la protection des données, au moyen du formulaire disponible sur le site internet de l’Autorité. Elle doit être réalisée dans un délai de maximum 72 heures à partir du constat de la violation.
Cette notification permet à l’Autorité d’évaluer le risque engendré par la fuite de données et de formuler des recommandations visant à réduire ce risque pour les personnes concernées.
Par ailleurs, la violation doit également être signalée aux personnes concernées lorsqu’il y a un risque élevé pour elles. Cette communication doit être réalisée par des moyens garantissant une réception rapide de l’information et dans un langage clair et aisément compréhensible. L’Autorité recommande de fournir au moins les précisions suivantes : la nature du problème, une brève description des données impactées et des mesures mises en place pour résoudre le problème, les éventuelles conséquences de la fuite de données pour les personnes concernées et les coordonnées d’une personne de contact auprès de laquelle des informations supplémentaires peuvent être obtenues.
Il est recommandé de tenir un registre des violations reprenant tous les incidents ayant eu lieu qu’ils aient été ou non notifiés.