Il résulte du paragraphe 1 de l’article 33 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) que l’obligation de notifier à la Commission nationale de l’informatique et des libertés (CNIL) une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle‑même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.

1) Les dispositions de l'article 34 bis de la loi n°78-17 du 6 janvier 1978 imposent seulement aux fournisseurs de services de communications électroniques accessibles au public d'informer la CNIL et, le cas échéant, les personnes intéressées lorsqu'ils constatent une violation de données à caractère personnel. Elles n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables. Un requérant ne saurait dès lors utilement soutenir qu'elles méconnaîtraient les stipulations du 1 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH), qui garantissent le droit de ne pas contribuer à sa propre incrimination, et les articles 47 et 48 de la Charte des droits fondamentaux de l'Union européenne, qui garantissent le droit d'accéder à un tribunal impartial et les droits de la défense.

2) En revanche, un requérant peut utilement soutenir qu'une sanction prononcée par la CNIL contre un fournisseur de services de communications électroniques accessibles au public à raison d'un manquement révélé du fait de l'obligation prévue par les dispositions de l'article 34 bis méconnaît ces stipulations.

1) Les dispositions de l'article 34 bis de la loi n°78‑17 du 6 janvier 1978 imposent seulement aux fournisseurs de services de communications électroniques accessibles au public d'informer la CNIL et, le cas échéant, les personnes intéressées lorsqu'ils constatent une violation de données à caractère personnel. Elles n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables. Un requérant ne saurait dès lors utilement soutenir qu'elles méconnaîtraient les stipulations du 1 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH), qui garantissent le droit de ne pas contribuer à sa propre incrimination, et les articles 47 et 48 de la Charte des droits fondamentaux de l'Union européenne, qui garantissent le droit d'accéder à un tribunal impartial et les droits de la défense.

2) En revanche, un requérant peut utilement soutenir qu'une sanction prononcée par la CNIL contre un fournisseur de services de communications électroniques accessibles au public à raison d'un manquement révélé du fait de l'obligation prévue par les dispositions de l'article 34 bis méconnaît ces stipulations.

ème ème