L’adhérent FFB doit, en principe, en sa qualité de responsable de traitement, notifier la violation
des données à la CNIL.
Il n’est pas nécessaire de procéder à la notification si la violation n’est pas susceptible
d’engendrer un risque pour les droits et libertés des personnes physiques (par
exemple : les données n’ont pas un degré important de sensibilité ou sont illisibles en
raison de la mise en place d’un procédé de cryptage).
Par contre, il faudra enregistrer la violation dans un registre dédié.
Que doit contenir la notification ?
Le document doit ainsi contenir :
- la nature de la violation de données à caractère personnel, y compris, si possible, les catégories
et le nombre approximatif de personnes concernées par la violation et les catégories et
le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données (DPO), ou de tout contact
auprès duquel des informations supplémentaires peuvent être obtenues ;
- les conséquences probables de la violation des données personnelles ;
- les mesures prises ou que l’adhérent FFB propose de prendre pour remédier à la violation de
données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les
éventuelles conséquences négatives.
Il peut arriver que les informations détaillées ci-dessus ne soient pas toutes disponibles au
moment de la notification, c’est pourquoi le RGPD autorise à échelonner dans le temps la fourniture
des informations requises.
Il faudra également documenter, dans un registre dédié, toute violation des données à caractère personnel, en décrivant les faits et les mesures qui ont été prises afin de permettre à la CNIL de vérifier que l’adhérent FFB a bien respecté ses obligations.