Dès l’adoption du nouveau règlement européen de protection des données personnelles, les organisations auront l’obligation d’informer la CNIL sans retard indu des violations de données personnelles, en précisant les catégories de données concernées, les conséquences de la violation de données, les mesures proposées ou prises pour y remédier dans l’immédiat et à l’avenir.
D’autre part, en fonction de la gravité des risques d’impact sur la vie privée ou sur les droits et libertés des individus et sauf à ce que les données aient été préalablement rendues inintelligibles, les organisations auront l’obligation d’en informer leurs clients, adhérents ou patients et plus généralement toute personne concernée.
Certes le Parlement et le Conseil de l’UE doivent encore s’entendre sur les conditions de cette nouvelle obligation, mais il ne fait aucun doute que les organisations qui collectent, analysent ou hébergent une quantité importante de données sensibles ou dont les traitements présentent des risques pour la vie privée d’un grand nombre de personnes (santé, origines ethniques, opinions politiques et religieuses, préférences sexuelles, données génétiques, données relatives aux enfants, données bancaires, données de localisation, analyse comportementale ou « Profiling »…) seront concernées.
Cette nouvelle obligation devrait donc s’imposer aux entreprises indépendamment de leur taille, qu’il s’agisse de malveillance ou de négligence.
…
