La protection des données personnelles est encadrée par un dispositif juridique solide en France et en Europe. Ce cadre légal définit les obligations des organismes qui traitent des données, les droits des personnes concernées et les sanctions applicables en cas de manquement.
Cette page présente les principaux textes de loi, les procédures à suivre en cas de violation de données et les recours disponibles pour les victimes.
En France, la protection des données personnelles repose principalement sur le Règlement Général sur la Protection des Données (RGPD) et la loi Informatique et Libertés, sous la supervision de la Commission Nationale de l'Informatique et des Libertés (CNIL).
Le RGPD constitue le texte de référence en matière de protection des données personnelles en Europe. Entré en application le 25 mai 2018, il s'applique directement dans tous les États membres de l'Union européenne.
Les données doivent être traitées de manière licite, loyale et transparente. Les personnes doivent être informées de l'utilisation de leurs données.
Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités.
Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire doivent être collectées. Le principe est de collecter le minimum de données nécessaires.
Les données doivent être exactes et tenues à jour. Toutes les mesures raisonnables doivent être prises pour rectifier ou effacer les données inexactes.
Les données ne doivent pas être conservées plus longtemps que nécessaire. Des durées de conservation précises doivent être définies.
Les données doivent être protégées contre le traitement non autorisé ou illicite. Des mesures techniques et organisationnelles appropriées doivent être mises en place.
Le responsable du traitement doit être en mesure de démontrer le respect des principes précédents. Il doit mettre en œuvre des mesures appropriées et les documenter.
En France, la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi du 20 juin 2018, complète le RGPD et précise certaines de ses dispositions.
Selon l'article 4 du RGPD, une violation de données à caractère personnel est "une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données".
Les violations peuvent être classées en trois catégories :
En cas de violation de données personnelles, le responsable du traitement doit :
Si la violation est susceptible de présenter un risque pour les droits et libertés des personnes, l'organisme doit la notifier à la CNIL via le téléservice de notification des violations sur le site de la CNIL, en fournissant les informations requises par l'article 33 du RGPD.
L'organisme doit tenir un registre de toutes les violations de données, documenter les faits, les effets et les mesures prises, et conserver ces informations pour permettre à la CNIL de vérifier le respect des obligations.
Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, le responsable du traitement doit également :
La CNIL dispose d'un pouvoir de sanction gradué :
| Niveau | Montant maximum | Types de violations |
|---|---|---|
| Premier niveau | 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial |
|
| Second niveau | 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial |
|
Le Code pénal prévoit également des sanctions pour certaines infractions :
| Infraction | Sanction |
|---|---|
| Collecte frauduleuse de données | 5 ans d'emprisonnement et 300 000 € d'amende |
| Atteinte aux STAD (Systèmes de Traitement Automatisé de Données) | 2 à 7 ans d'emprisonnement et 60 000 à 300 000 € d'amende |
| Non-respect des formalités préalables | 5 ans d'emprisonnement et 300 000 € d'amende |
| Entrave à l'action de la CNIL | 1 an d'emprisonnement et 15 000 € d'amende |
Les personnes dont les données ont été compromises disposent de plusieurs droits :
Être informé de la violation dans les meilleurs délais et recevoir une information claire sur les données concernées et les risques.
Articles 13 et 14 du RGPD
Obtenir la confirmation que des données vous concernant font l'objet d'un traitement et accéder à ces données.
Article 15 du RGPD
Faire rectifier les données inexactes et compléter les données incomplètes.
Article 16 du RGPD
Demander l'effacement des données dans certaines circonstances, particulièrement pertinent après une fuite.
Article 17 du RGPD
Demander la limitation du traitement des données dans certaines circonstances, utile en attendant la vérification de l'exactitude des données contestées.
Article 18 du RGPD
Recevoir les données dans un format structuré et les transmettre à un autre responsable de traitement.
Article 20 du RGPD
S'opposer au traitement de ses données dans certaines circonstances, particulièrement pour les traitements fondés sur l'intérêt légitime.
Article 21 du RGPD
La directive NIS 2, adoptée en 2022 et devant être transposée par les États membres d'ici octobre 2024, renforce les exigences en matière de cybersécurité :
Le règlement sur l'identité numérique européenne (eIDAS 2) vise à :
Ce projet de règlement européen prévoit :
Pour savoir comment vous protéger contre les risques liés aux fuites de données, consultez notre page de conseils de sécurité.