La Commission nationale de l'informatique et des libertés vérifie dans un délai de deux mois si les mesures de protection appropriées ont été mises en œuvre et appliquées et apprécie la gravité au cas particulier de la violation de données à caractère personnel.
Le silence gardé par la commission au terme de ce délai vaut constat de non-application au cas particulier des mesures de protection appropriées et emporte pour le fournisseur, s'il n'a pas déjà averti la personne intéressée, l'obligation de procéder à la notification prévue à l'article 91-2. Ce délai ne court qu'à compter de la réception complète des informations prévues à l'article 91-4.
Si le fournisseur n'a pas déjà averti la personne intéressée de la violation de ces données en application de l'article 91-2, la commission peut en outre, lorsqu'elle estime la violation grave, mettre le fournisseur en demeure de l'informer en application du dernier alinéa du II de l'article 34 bis de la loi du 6 janvier 1978 dans un délai qui ne peut être supérieur à un mois.