Dans un communiqué en date du 22 mars, la CNIL « rappelle les obligations en matière de notification de violation en cas d’indisponibilité ou de destruction de données personnelles ».
La notification est obligatoire dans deux cas de figure : « si des données personnelles ont été définitivement perdues ; ou si elles sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes ».
De plus, si la violation cause « des risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement ».
Pour évaluer le risque, il faut tenir compte notamment « du type de données concernées et des conséquences potentielles de la violation (par exemple, la perte définitive de données de santé d’un patient est susceptible de présenter un risque élevé) ».
A l’inverse, la notification n’est pas jugée nécessaire « si la mise en œuvre d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service ; ou si les données ont été restaurées à partir des sauvegardes, sans conséquence significative pour les personnes (ex. : les conséquences sont limitées à l’impossibilité de passer une commande pendant quelques heures) ».