Informer les clients dont les données personnelles ont été rendues publiques

Pour les besoins de votre activité professionnelle, vous avez procédé à la collecte et au traitement de données à caractère personnel contenues dans le fichier client de votre entreprise. Bien que vous ayez pris toutes les mesures nécessaires pour sécuriser l'accès à ces données, elles ont été rendues publiques, en raison d'un bug ou un piratage.

Conformément aux dispositions de la loi Informatique et libertés, modifiées suite à l'entrée en vigueur du Règlement Général Européen sur la Protection des Données (RGPD), vous êtes tenu d'en informer les personnes concernées lorsque la violation présente un risque élevé pour leurs droits et libertés. De ce fait, vous souhaitez vous prémunir contre les sanctions pénales prévues en cas de rétention d'informations.

L’article 34 de la Loi n°78-17 du 6 janvier 1978, modifié par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, prévoit que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données. Il doit également empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. 

Lorsque la sécurité et la confidentialité de ces données sont violées, vous devez impérativement informer la Commission nationale informatique et libertés (CNIL), mais aussi la personne concernée si cette violation présente un risque élevé pour ses droits et libertés. En cas de non-respect de cette obligation, vous encourez 5 ans d'emprisonnement et 300 000€ d'amende (article 226-17-1 du Code pénal).

Même s'il n'existe aucun délai légal pour prévenir les clients ou salariés de la violation des données, vous pouvez envoyer au plus tôt ce courrier afin de garantir son effectivité.