En cas de violation du système de données, le responsable des données dispose de 72 heures maximum pour prévenir la CNIL et les personnes concernées.
On entend par violation de données à caractère personnel :
- La destruction, la perte ou l’altération non désirée.
- La divulgation non autorisée de données à caractère personnel.
- L’accès non autorisé à des données à caractère personnel transmises, conservées ou traitées d’une autre manière.
Il convient de déclarer :
- La nature de la violation, si possible les catégories et le nombre approximatif de personnes concernées et d’enregistrement de données à caractère personnel concerné.
- Le nom de la personne à contacter pour obtenir d’éventuelles informations complémentaires.
- Les conséquences probables de la violation.
- Les mesures prises ou proposées d’être prises pour remédier à la violation, notamment pour en atténuer les éventuelles conséquences négatives.
Un sous-traitant aura aussi la responsabilité d’avertir son client.