RGPD : les bons reflexes en cas de destruction (accidentelle) de données personnelles

RGPD : quelles obligations en cas de destruction de données personnelles ?

A la suite d’un incendie qui s'est déclaré dans une partie des locaux d’une société d’hébergement de sites internet, la CNIL rappelle que ce type de destruction de données, même accidentelle, s’apparente à une violation de données selon le RGPD.

A ce titre, les responsables de traitement des données personnelles hébergées dans ces locaux, doivent répertorier cet incident dans un registre tenu en interne.

Si la continuité des services a pu être assurée ou si la restauration des données a pu être effectuée à partir de sauvegarde et que les conséquences ne sont pas importantes pour les personnes, une notification auprès des services de la CNIL n’est pas nécessaire.

Toutefois, dans le cas ou les données sont définitivement perdues ou indisponibles pendant une longue période, les responsables des traitements doivent prévenir la CNIL.

De plus, si cette perte est susceptible d’engendrer des conséquences importantes pour les personnes comme, la perte définitive de données de santé d’un patient, le responsable du traitement est dans l’obligation de les prévenir individuellement.

Une fois la notification reçue, la CNIL ne fournit que des conseils sur les modalités de communication auprès des personnes concernées, mais n’assure pas de service d’assistance ni d’action permettant de remédier à l’incident.

Source : Communiqué de presse de la CNIL du 22 mars 2021

RGPD : quand les données partent en fumée !