Fuite de données : quel est le délai légal pour qu'une entreprise vous alerte ?
Les violations de bases de données (hacking, perte de clés USB, erreurs de configuration) exposent les internautes à des risques de phishing et d'usurpation d'identité. Pour protéger les citoyens, le RGPD impose aux organismes des obligations de notification strictes et rapides.
Le délai de 72 heures pour notifier la CNIL
Selon l'article 33 du RGPD, en cas de violation de données personnelles, le responsable de traitement doit notifier la faille à l'autorité de contrôle (la CNIL en France) dans les meilleurs délais et, si possible, <strong>72 heures au plus tard</strong> après en avoir pris connaissance, sauf si la violation n'est pas susceptible de présenter un risque pour les droits des personnes.
Quand l'entreprise doit-elle vous avertir personnellement ?
Si la fuite de données présente un <strong>risque élevé</strong> pour vos droits et libertés (par exemple, la divulgation de mots de passe, de coordonnées bancaires ou de données de santé), l'article 34 du RGPD impose à l'entreprise de vous notifier la violation personnellement, individuellement et dans les meilleurs délais (sans retard injustifié).
Les informations obligatoires que doit contenir l'alerte de fuite
Le message d'avertissement que vous envoie l'organisme doit être rédigé dans un langage clair et simple, et doit contenir :
- Le nom et les coordonnées du Délégué à la Protection des Données (DPO).
- Les conséquences probables de la fuite de données sur votre sécurité (ex: usurpation).
- Les mesures prises ou proposées par l'entreprise pour pallier la faille et limiter les risques.
- Les recommandations concrètes pour vous protéger (ex: changer vos mots de passe).
- La nature des données dérobées par les pirates.
Protégez vos données et votre vie privée avec oubli.me
Ne laissez pas les applications, sites web et fuites de données exploiter vos informations personnelles. oubli.me s'occupe de faire supprimer vos traces de façon continue.
Lancer l'audit gratuit