Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel
1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
3. La notification visée au paragraphe 1 doit, à tout le moins:
- a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
- b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- c) décrire les conséquences probables de la violation de données à caractère personnel;
- d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.
En savoir plus...
L'article 33 du RGPD régit les obligations du responsable du traitement et du sous-traitant en cas de violation de données.Le paragraphe 1 impose aux responsables du traitement l'obligation de notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans un délai raisonnable lorsque cette violation est susceptible d'engendrer un risque pour les droits et libertés de personnes physiques. Le paragraphe 2 impose une obligation correspondante au sous-traitant, la seule différence étant que le destinataire de la notification doit être le responsable du traitement. Le paragraphe 3 dresse une liste non exhaustive des informations qui doivent être fournies à l'autorité de contrôle. Le paragraphe 4 donne aux responsables du traitement la possibilité de partager les détails de la violation en différentes phases lorsque toutes les informations ne peuvent être fournies en même temps. Enfin, en vertu du paragraphe 5, et conformément au principe de responsabilité, le responsable du traitement doit documenter toute violation de données, y compris les faits, les effets et les mesures correctives prises.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
85. Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.
[Vérification des mesures de sécurité et des délais]
87. Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.
[Règles et procédures liées à la notification d'une violation]
88. Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de cette violation, y compris du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées, limitant efficacement la probabilité d'usurpation d'identité ou d'autres formes d'abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation des données à caractère personnel.
Droit souple
Lignes directrices et recommandations
Documents anciens
Références
Cet article cite...
Cet article est cité par...
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| 9991064 | NTT Data | 08/02/2024 | Violation de données - Délai de notification - 72 heures à compter de la découverte initiale y compris par un sous-traitant - Prise en compte du nombre d'acteurs impliqués - Absence | Lien | Obligations du sous-traitant, Délai de notification | CNIL ou équivalent | 2024 | |
| 449694 | M. D… C… | 22/07/2022 | Obligation du responsable du traitement de notifier à la CNIL une violation de données à caractère personnel - Portée | Lien | Portée de l'obligation | Conseil d'Etat | 2022 |
Actualités
Profitez de nos actualités en lien avec cet article !Des pompes funèbres condamnés à une amende de 7 700 euros en raison de cartons tombés du camion
Le président de l’UODO, MirosÅ‚aw Wróblewski, a aujourd’hui annoncé avoir infligé une amende de 33 000 zÅ‚ (soit environ 7 700 euros) à une entreprise de pompes funèbres de PuÅ‚aw, qui n’avait pas mis en place les mesures organisationnelles et techniques appropriées pour protéger les données personnelles conten [...]
En Corée du Sud, deux entreprises sanctionnées pour des manquements en matière de sécurité
La Commission de protection des informations personnelles (présidée par Koh Hak-su, ci-après « la Commission ») a aujourd’hui annoncé avoir infligé un total de 58,51 millions de wons d’amende administrative et 14,1 millions de wons d’amendes (soit environ 45 000 euros au total) à deux opérateurs qui ont violé les [...]
Amende de 750,7 millions de wons infligée à la société Modu Tour Network pour une fuite de données personnelles
La PIPC (présidée par Ko Hak-soo, ci-après dénommée « la Commission ») a aujourd’hui annoncé avoir décidé d’infliger une amende totale de 750,7 millions de wons (soit environ 475 000 euros) à la société Modu Tour Network*, l’opérateur du service de médiation de voyage en ligne et hors ligne [...]
Violation de données de santé : GETECCU sanctionné par l’AEPD
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre du « Groupe de travail espagnol sur la maladie de Crohn et la colite ulcéreuse » (GETECCU) suite à une faille de sécurité majeure ayant compromis des données de santé de patients dans le cadre d’un projet de recherche scientifique. L’incident a été détecté le 14 [...]
Violation de données à l’occasion d’une migration de site web : une entreprise de commerce en ligne sanctionnée par l’AEPD
L’Agence Espagnole de Protection des Données (AEPD) a publié une décision de sanction à l’encontre de DISEÑOS HERMANAS ORTIZ CAÑÓN, S.L. (HO) pour une violation de la confidentialité et de l’intégrité des données personnelles à la suite d’une faille de sécurité majeure, intervenue [...]
Le fabricant d’électroménager Beko sanctionné en Roumanie en raison de problèmes de sécuritéÂ
L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction à l’encontre de BEKO ROMÂNIA SA, avec une amende de 49.766,00 lei (l’équivalent de 10.000 euros) à la clef. L’enquête de l’autorité a été engagée à la suite d’une notification de violation de donné [...]
Une société condamnée à 347 000 euros d’amende en raison de télémarketing sauvage
Dans sa newsletter du 28 février, l’autorité italienne a évoqué le cas de Wind Tre, condamné à une amende de 347 520 euros pour traitement illicite de données à caractère personnel à des fins promotionnelles et pour défaut d’adoption de mesures techniques et organisationnelles visant à garantir le respect de la vie privée [...]
Plan de suivi éducatif d’un enfant mineur: un établissement scolaireÂ
Ce vendredi, l’autorité belge a rendu une décision suite à l’accord amiable trouvé entre un établissement scolaire et la mère dans le cadre d’un litige lié au plan de suivi éducatif d’un enfant mineur. La mère a en effet adressé une plainte à l’autorité après avoir découvert  que le plan de suivi contenait une form [...]
Violation de données de santé : l’autorité roumaine condamne l’ambulancier Medstar à une amende de 2 000 euros
L’autorité roumaine a aujourd’hui publié le résumé d’une sanction à l’encontre de l’ambulancier Medstar S.R.L en raison d’une erreur lors de la transmission de données de santé. L’enquête a été ouverte à la suite d’une plainte d’une personne con [...]
L’AEPD inflige des sanctions à 24 (!!) entités du groupe bancaire Caja Rural suite à une violation de données personnelles
L’AEPD a, ce 13 février, publié 5 décisions de sanctions à l’encontre de 5 entités juridiques du groupe bancaire Caja Rural en raison de failles de sécurité ayant abouti à une violation de données en lien avec leur système d’authentification SSO : au total, 165 000 euros d&rs [...]
<< Retourner au menu