Modèle pour informer les clients de la fuite de leurs données

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données. Il doit également empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (article 121 de la Loi n°78-17 du 6 janvier 1978, modifié par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD)). 

Lorsque la sécurité et la confidentialité de ces données sont violées, vous devez impérativement informer la Commission nationale informatique et libertés (CNIL), mais aussi la personne concernée si cette violation présente un risque élevé pour ses droits et libertés (article 58 de la Loi n°78-17 du 6 janvier 1978 et article 33 du RGPD). 

En cas de non-respect de cette obligation, vous encourez 5 ans d'emprisonnement et 300 000 euros d'amende (article 226-17-1 du Code pénal).

Même s'il n'existe aucun délai légal pour prévenir les clients ou salariés de la violation des données, vous pouvez envoyer au plus tôt ce courrier afin de garantir son effectivité.

La lettre recommandée avec accusé de réception permettra de prouver que vous avez bien rempli votre obligation d’information.

Si vous n’êtes pas certain d’être dans l’obligation d’avertir vos clients (ex : vous ne savez pas si le risque est élevé), vous pouvez interroger la CNIL pour vous guider.