Le GDPR prévoit très peu de nouveautés mais, parmi celles-ci, il y a la notification des atteintes aux données. Il reste à savoir qui doit le faire, quand et comment.
Etienne Papin, avocat associé du cabinet Feral-Schuhl / Sainte-Marie, revient sur une conséquence du GDPR
Le 25 mai 2018 marque l’entrée en vigueur du désormais fameux « Règlement Général relatif à la Protection des Données » (RGPD). En dépit de la publicité qui a été donnée à ce règlement et de la « lourdeur » du texte (99 articles !), celui-ci recèle en définitive assez peu d’innovations. Les entreprises ayant pris le soin de se conformer à la loi du 6 janvier 1978 Informatique et Libertés sont d’ores et déjà largement conformes au RGPD.
Parmi, les vraies nouveautés du RGPD figurent cependant ce que prévoit son article 33 intitulé « Notification à l’autorité de contrôle d’une violation de données à caractère personnel ». Cet article doit être connu de toutes les DSI car, sauf à vivre déconnecté d’Internet, il est probable qu’un jour ou l’autre, la question de son application se posera dans chaque entreprise.