L’un des premiers cas de violation de données rapporté à nos équipes posait une double difficulté. La société concernée avait initialement développé une activité qui l’amenait à traiter des données à caractère personnel pour le compte de tiers. Elle avait ensuite étendu ses activités et traitait désormais des données personnelles pour les besoins de sa propre activité.
Certaines de ces données personnelles appartenaient aux mêmes personnes concernées car elles avaient été traitées dans deux contextes différents.
La notification Cnil pour la partie des traitements réalisés en qualité de responsable de traitement s’est faite sans difficultés.
Dans le cas des traitements réalisés pour le compte de clients responsables de traitement, il a d’abord été nécessaire de distinguer parmi les données ciblées par la violation quelles données avaient été collectées pour quel responsable de traitement.
Dans ce contexte, la tenue d’un registre des activités de traitement et de sous-traitance à jour a été particulièrement importante car elle a permis d’identifier immédiatement les responsables de traitement et les données concernées.
Ce cloisonnement strict a permis de gagner un temps essentiel, et de respecter les délais de notification prévus au RGPD.
Il a également permis d’informer certains responsables de traitement de la spécificité de la notification à venir.
Le responsable de traitement a en effet la responsabilité de déterminer s’il y a lieu de notifier la Cnil et les personnes concernées de l’existence et de la portée de la violation de données.
Le sous-traitant a quant à lui une obligation d’information et de conseil à l’égard du responsable de traitement : l’informer de la violation et lui fournir les éléments nécessaires afin de l’aider dans sa décision de notifier, ou de ne pas notifier.
En l’espèce, il a été décidé de procéder à la notification de la Cnil même dans l’hypothèse où une discussion aurait pu s’engager entre notre client et ses propres clients sur leurs qualifications respectives (responsable de traitement ou sous-traitant).
Cette décision a été prise en conformité avec les obligations d’information du sous-traitant, mais également pour renforcer l’efficacité des mesures prises pour contrer la violation de données.