A la CNIL, le fournisseur « doit décrire les conséquences de la violation de données personnelles, et les mesures proposées ou prises pour y remédier ». Il doit aussi tenir à la disposition de la CNIL un inventaire des violations constatées qui détaille « les modalités des violations constatées, les effets provoqués par cette violation, les mesures entreprises pour y remédier ».
Pour donner du poids à cette obligation, l’absence de notification sera sanctionnée par une peine pouvant aller jusqu’à 5 ans de prison et 300.000 euros d’amende, à laquelle pourraient s’ajouter des dommages et intérêts, soit de quoi « susciter un boom des audits de sécurité ».
Illustr. Matrix_2. Marcus Papapopolus. Flickr. CC by-nc-nd
via Paralipomènes » Cookies et failles de sécurité : La loi « Informatique et libertés » est modifiée.
