← Article précédent
Télécharger en PDF
Article suivant →

Dans quels cas un employeur doit-il notifier une violation de données à la CNPD ?

Réponse courte

Un employeur doit notifier une violation de données à la CNPD dès lors que l’incident est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Cette obligation s’applique à tout incident de sécurité affectant des données à caractère personnel, qu’il soit accidentel ou illicite, et quel que soit le support ou la cause (interne ou externe, intentionnelle ou non).

La notification n’est pas requise si la violation est peu susceptible d’engendrer un tel risque. En cas de doute sur le niveau de risque, il est recommandé de procéder à la notification afin d’assurer la conformité et d’éviter toute sanction.

Définition

Une violation de données à caractère personnel correspond à tout incident de sécurité entraînant, de façon accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données à caractère personnel traitées par l’employeur. Cette notion s’applique à l’ensemble des traitements de données relatifs aux salariés, candidats, anciens employés ou toute autre personne physique identifiable dans le cadre professionnel.

Une violation peut résulter d’un acte interne ou externe, intentionnel ou non, et concerne aussi bien les supports numériques que papiers. Elle inclut notamment les cas de piratage, d’envoi d’informations à un mauvais destinataire, de perte d’un support contenant des données ou d’accès non autorisé par un tiers.

Conditions d’exercice

L’obligation de notification à la Commission nationale pour la protection des données (CNPD) s’impose à tout responsable de traitement dès lors qu’une violation de données à caractère personnel est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. L’évaluation du risque doit prendre en compte la nature, la sensibilité, le volume des données, les conséquences potentielles pour les personnes (usurpation d’identité, discrimination, atteinte à la réputation, perte financière, etc.) ainsi que le contexte du traitement.

La notification n’est pas requise si la violation est peu susceptible d’engendrer un tel risque. Toutefois, en cas de doute, il est recommandé de procéder à la notification. L’égalité de traitement et la traçabilité des démarches doivent être assurées pour toutes les personnes concernées, sans discrimination.

Modalités pratiques

La notification à la CNPD doit être effectuée dans les meilleurs délais et, si possible, dans les 72 heures suivant la prise de connaissance de la violation. Elle s’effectue via le formulaire électronique disponible sur le site de la CNPD.

La notification doit comporter :

  • une description de la nature de la violation,
  • les catégories et le nombre approximatif de personnes concernées,
  • les catégories et le nombre approximatif d’enregistrements de données concernés,
  • les conséquences probables de la violation,
  • les mesures prises ou proposées pour remédier à la violation et en atténuer les effets négatifs,
  • les coordonnées du délégué à la protection des données ou d’un point de contact.

En cas de notification tardive, les raisons du retard doivent être justifiées. Toute violation, qu’elle fasse ou non l’objet d’une notification, doit être documentée afin de garantir la traçabilité et la conformité aux obligations légales.

Pratiques et recommandations

Il est recommandé de mettre en place des procédures internes pour détecter, signaler et gérer les violations de données. Les employeurs doivent former les salariés concernés, désigner un point de contact compétent et assurer un encadrement humain dans la gestion des incidents.

En cas de violation susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, la communication directe aux personnes concernées est obligatoire, sauf exceptions prévues par la loi. Il convient de conserver la preuve de toutes les démarches entreprises, y compris la documentation des analyses de risque et des notifications réalisées.

Cadre juridique

  • Code du travail luxembourgeois :
    • Article L.261-1 (obligation de protection des données à caractère personnel dans le cadre de la relation de travail)
  • Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données :
    • Article 33 (notification des violations de données à la CNPD)
    • Article 34 (communication des violations aux personnes concernées)
  • Règlement (UE) 2016/679 (RGPD) :
    • Article 33 (notification à l’autorité de contrôle)
    • Article 34 (communication à la personne concernée)
  • Lignes directrices de la CNPD sur la gestion des violations de données
  • Jurisprudence administrative luxembourgeoise relative à la notification des violations de données

Note

En cas de doute sur le niveau de risque, il est préférable de notifier la violation à la CNPD afin d’éviter toute sanction administrative ou pénale pour non-respect des obligations de notification. La documentation systématique de chaque incident est essentielle pour démontrer la conformité en cas de contrôle.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...