Le présent chapitre s'applique aux traitements relevant du chapitre IV du titre II de la loi du 6 janvier 1978 susvisée.
Les droits et obligations mentionnés aux chapitres II et III s'appliquent sous réserve des dispositions particulières du présent chapitre.

La notification d'une violation des données à caractère personnel prévue au premier alinéa du II de l'article 83 de la loi du 6 janvier 1978 susvisée est adressée à la Commission nationale de l'informatique et des libertés par lettre remise contre signature ou par voie électronique qui précise la nature et les conséquences de la violation des données à caractère personnel, les mesures déjà prises ou proposées par le fournisseur de services de communications électroniques accessibles au public pour y remédier et les personnes auprès desquelles des informations supplémentaires peuvent être obtenues et, lorsque cela est possible, une estimation du nombre de personnes susceptibles d'être impactées par la violation en cause.

La notification d'une violation des données à caractère personnel prévue au deuxième alinéa du II de l'article 83 de la loi du 6 janvier 1978 est adressée à la personne intéressée par tout moyen permettant au fournisseur de services de communications électroniques accessibles au public d'apporter la preuve de l'accomplissement de cette formalité. Cette notification précise la nature de la violation de données à caractère personnel, les personnes auprès desquelles des informations supplémentaires peuvent être obtenues ainsi que les mesures que le fournisseur recommande à la personne intéressée de prendre pour atténuer les conséquences négatives de cette violation.
Cette notification n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que les mesures de protection appropriées au sens de l'article 120 et sur lesquelles elle s'est prononcée dans les conditions prévues aux articles 121 et 122 ont été mises en œuvre par le fournisseur et efficacement appliquées aux données concernées par cette violation.

Constitue une mesure de protection appropriée, au sens de l'article 83 de la loi du 6 janvier 1978, toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

Pour informer la Commission nationale de l'informatique et des libertés des mesures de protection qu'il met en œuvre et qu'il a appliquées au cas particulier, le fournisseur lui adresse, par tout moyen permettant d'apporter la preuve de leur notification, les informations suivantes :
1° Les nom, prénom, adresse et coordonnées téléphoniques du responsable du traitement ;
2° La description des mesures de protection ;
3° Les dispositions prévues et appliquées pour conférer une pleine efficacité à ces mesures ;
4° Le cas échéant, les références du dossier de formalités accomplies auprès de la commission préalablement à la mise en œuvre du traitement considéré ;
5° L'accomplissement ou non de la formalité de notification prévue à la personne intéressée par l'article 119 et, dans la négative, les raisons justifiant l'absence de notification.

La Commission nationale de l'informatique et des libertés vérifie dans un délai de deux mois si les mesures de protection appropriées ont été mises en œuvre et appliquées et apprécie la gravité au cas particulier de la violation de données à caractère personnel.
Le silence gardé par la commission au terme de ce délai vaut constat de non-application au cas particulier des mesures de protection appropriées et emporte pour le fournisseur, s'il n'a pas déjà averti la personne intéressée, l'obligation de procéder à la notification prévue à l'article 119. Ce délai ne court qu'à compter de la réception complète des informations prévues à l'article 121.
Si le fournisseur n'a pas déjà averti la personne intéressée de la violation de ces données en application de l'article 119, la commission peut en outre, lorsqu'elle estime la violation grave, mettre le fournisseur en demeure de l'informer en application du dernier alinéa du II de l'article 83 de la loi du 6 janvier 1978 dans un délai qui ne peut être supérieur à un mois.