Le risque engendré par la violation des données pour les personnes concernées doit être évalué quant à sa gravité, ainsi que la probabilité des conséquences des faits sur leurs Droits et leurs Libertés.
La CNIL doit avoir notification des violations présentant un risque pour les personnes concernées.
1 – La notification initiale doit intervenir dans le délai des 72 heures suivant le constat de la violation des données personnelles.
2 – Une notification complémentaire est possible en suivant la première notification dès que les informations attendues se retrouvent disponibles.
En cas de risque élevé les personnes concernées doivent être informées pour qu’elles puissent limiter les conséquences de la violation de leurs données dont elles ont fait l’objet.
En cas de doute, il est préférable d’interroger la CNIL qui donnera son avis sur l’information ou pas aux personnes concernées.
Si toutes les informations ne peuvent pas être données dans le délai par nécessité d’avoir un complément d’information, la notification à la CNIL peut s’opérer en deux temps.
L’absence ou le défaut de toute notification dans les 72 heures du constat de la violation, oblige le responsable de traitement à répondre de son omission.
A la réception de la notification qui lui est destinée, la CNIL va instruire le dossier.
Au constat que la violation des données personnelles ne porte pas atteinte aux Droits et aux Libertés des personnes, que les personnes concernées ont été correctement informées et que préalablement aux faits des mesures de protection appropriées avaient été mises en place, la CNIL procèdera à la clôture.
La CNIL peut imposer d’informer les personnes concernées, si elle estime qu’elles ne l’ont pas été correctement, ou que les mesures de protection prises avant les faits se retrouvent inappropriées.