Par Philippe Glaser, avocat associé chez Taylor Wessing

Au regard de la position de la CNIL, les CGP, en tant qu’utilisateurs des services d’Harvest, sont considérés comme des « responsables de traitements » des données personnelles de leurs clients. 

A ce titre, face à l’incident qui affecte l’outil O2S, ils doivent notifier à la CNIL toute violation de données personnelles et informer leurs clients si une fuite de leurs données survient. 

L’indisponibilité des données personnelles des clients constitue en effet une violation des données personnelles. Cette situation doit donc être notifiée à la CNIL via son téléservice. La CNIL identifie plusieurs cas de violation, dont la « perte de disponibilité » des données.

La CNIL entend la violation de manière extensive avec :

1/ La perte de disponibilité (le responsable du traitement ou l’utilisateur n’a plus accès à ses données) ;

2/ La violation de l’intégrité (la donnée personnelle a fait l’objet d’une modification, elle n’est potentiellement plus exacte) ;

3/ La violation de la confidentifalité (des personnes non habilitées peuvent avoir accès aux données personnelles, les données ont fait l’objet de copies).

Conformément à l’article 33 du RGPD, cette notification doit être faite dans les meilleurs délais et si possible, 72 heures au plus tard après avoir pris connaissance de la violation des données. 

Si ce délai ne peut être respecté, la notification doit être accompagnée des motifs du retard. 

Sur le fond de la notification, cette dernière doit inclure, en vertu de l’alinéa 3 de l’article 33 du RGPD, les éléments suivants : 

- Un point de contact (un moyen qui permet de communiquer avec le délégué à la protection des données affilié au traitement en cause) ; 

- La nature des violations (intégrité, confidentialité) ; 

- Les catégories et le nombre approximatif de personnes concernées par la violation ; 

- Les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

- Les conséquences de la violation de données à caractères personnel ; 

- Les mesures prises ou prévues par le responsable du traitement pour remédier à la violation de données à caractère personnel. 

À ce jour, rien n'indique que les données personnelles des clients de l’outil O2S d'Harvest aient été compromises. 

Ainsi, et comme le préconise la CNIL, en cas doute sur l’incidence de la fuite de données personnelles concernant la vie privée des personnes concernées, il suffit de notifier la violation à la CNIL dans un premier temps. 

Si toutefois les données personnelles des clients venaient à fuiter, les responsables de traitements (CGP) devront les informer, dans les meilleurs délais, de la violation de leurs données personnelles (article 34 du RGPD). 

En conclusion, les CGP doivent impérativement notifier la CNIL de l’indisponibilité des données personnelles de leurs clients, même si Harvest, en tant que sous-traitant, a déjà mis en place des mesures de sécurité.