Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel

1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

En savoir plus...

L'article 33 du RGPD régit les obligations du responsable du traitement et du sous-traitant en cas de violation de données.
Le paragraphe 1 impose aux responsables du traitement l'obligation de notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans un délai raisonnable lorsque cette violation est susceptible d'engendrer un risque pour les droits et libertés de personnes physiques. Le paragraphe 2 impose une obligation correspondante au sous-traitant, la seule différence étant que le destinataire de la notification doit être le responsable du traitement. Le paragraphe 3 dresse une liste non exhaustive des informations qui doivent être fournies à l'autorité de contrôle. Le paragraphe 4 donne aux responsables du traitement la possibilité de partager les détails de la violation en différentes phases lorsque toutes les informations ne peuvent être fournies en même temps. Enfin, en vertu du paragraphe 5, et conformément au principe de responsabilité, le responsable du traitement doit documenter toute violation de données, y compris les faits, les effets et les mesures correctives prises.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Motifs et délais de la notification d'une violation]
85. Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

[Vérification des mesures de sécurité et des délais]
87. Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

[Règles et procédures liées à la notification d'une violation]
88. Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de cette violation, y compris du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées, limitant efficacement la probabilité d'usurpation d'identité ou d'autres formes d'abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation des données à caractère personnel.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 9/2022 - Notification en cas de violation de données

28 mars 2023, v2.0

> CEPD - Lignes directrices 01/2021 - Exemples concernant la notification de violations de données

14 décembre 2021, v2.0

Documents anciens

> WP29 - Lignes directrices - Notification en cas de violation de données

3 octobre 2017, modifiées le 6 février 2018

Références

Cet article cite...

> Article 55 - Compétence

Cet article est cité par...

> Article 28 - Sous-traitant

> Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel

> Article 70 - Missions du comité

> Article 83 - Conditions générales pour imposer des amendes administratives

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Lien
9991064	NTT Data	08/02/2024	2024	Italie	CNIL ou équivalent	A classer		Violation de données - Délai de notification - 72 heures à compter de la découverte initiale y compris par un sous-traitant - Prise en compte du nombre d'acteurs impliqués - Absence		(Traduction) 4. [...] À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est « important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures; [...] Cela s’applique également lorsque, comme dans le cas présent, un sous-traitant a recours à un sous-traitant ultérieur pour l’exécution d’activités spécifiques de traitement pour le compte d’un responsable de traitement ; l’obligation d’informer le responsable de traitement prévue par l’article 33, paragraphe 2, incombe toujours au sous-traitant initial, qui n’est pas tenu d’évaluer le risque découlant de la violation avant de la signaler au responsable de traitement. [...] Dans le cas présent, NTT Data aurait donc dû informer le responsable de traitement de la violation des données personnelles sans délai, c’est-à-dire dès le 11 et 12 octobre 2018, date à laquelle Truel IT en a eu connaissance.	28, 33	39c9c4e0ab390e751b96a98212ede77eecceb022		Cliquer pour accéder à la décision traduite par machine ou Cliquer pour accéder à la décision officielle
C-340/21	Natsionalna agentsia za prihodite	14/12/2023	2023	Bulgarie	Cour de Justice de l'UE	A classer		Crainte d’un potentiel usage abusif de données personnelles par un tiers - Constitutif d'un dommage moral - Admission sous conditions probatoires		86. L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.	33, 82	39c9c4e0ab390e751b96a98212ede77eecceb022		Cliquer pour accéder à la décision
449694	M. D… C…	22/07/2022	2022	France	Conseil d'Etat	Portée de l'obligation		Obligation du responsable du traitement de notifier à la CNIL une violation de données à caractère personnel - Portée	Il résulte de l'instruction qu'à la suite du signalement sur le site internet " 01net.com " de l'existence, dans différents pays, de serveurs informatiques d'imagerie médicale en libre accès, les services de la Commission nationale de l'informatique et des libertés (CNIL) ont procédé les 20 et 24 septembre 2019 à des contrôles en ligne qui ont confirmé le caractère librement accessible de telles données par des serveurs localisés en France. Après avoir obtenu l'identité et les coordonnées des adresses IP afférentes, la délégation de contrôle de la CNIL a, par un courrier électronique du 8 octobre 2019, notamment, notifié à M. C..., chirurgien orthopédiste, le contrôle en ligne qu'elle avait effectué, après l'avoir informé du caractère librement accessible des images médicales de ses patients à partir de l'adresse IP de son serveur. Par un courrier électronique du 9 octobre 2019, M. C... a répondu avoir pris les mesures nécessaires pour mettre fin à la violation constatée. La formation restreinte de la CNIL a, par une délibération en date du 3 décembre 2020, prononcé à l'encontre de M. C... une amende administrative de 3 000 euros au titre des manquements constatés aux articles 32 et 33 du règlement du 27 avril 2016. M. C... demande l'annulation de cette délibération.	4. [...] Il résulte du [paragraphe 1 de l'article 33 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD)] que l'obligation de notifier à la Commission nationale de l'informatique et des libertés (CNIL) une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s'impose pas au responsable du traitement dans le cas où la CNIL l'a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.	33	39c9c4e0ab390e751b96a98212ede77eecceb022	/	<a href="Cliquer pour accéder à la décision" target="_blank" rel="noopener">Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

PIPC (autorité coréenne)

12 janvier 2025

Amende d’environ 1,7 millions d’euros contre le Bureau administratif des tribunaux pour fuite de numéro de registre et violation des obligations de sécurité La PIPC (présidée par Ko Hak-soo) a tenu sa première réunion plénière le 8 janvier et a décidé d’imposer une amende administrative de 2,7 milliards de wons et une amende de 6 […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

02 janvier 2025

Des erreurs organisationnelles lors de la reconstruction du site web peuvent entraîner la divulgation de données : Panek SA condamné à 358 000 euros d’amende L’autorité polonaise a aujourd’hui annoncé avoir condamné la société Panek SA pour n’avoir pas mis en œuvre les mesures techniques et organisationnelles appropriées garantissant la sécurité du traitement des données, […]

Disponible sur: veille.portail-rgpd.com

L’Usine digitale

02 janvier 2025

Une faille de sécurité expose les données personnelles de 800 000 automobilistes L’incident s’est produit à la suite d’une erreur de configuration dans les systèmes de Cariad, la division logicielle du groupe Volkswagen. Plusieurs téraoctets de données non protégés sont ainsi restés accessibles pendant quelques mois depuis une instance cloud Amazon. En exploitant un logiciel gratuit, […]

Disponible sur: veille.portail-rgpd.com

L’Usine digitale

02 janvier 2025

Ransomware : Space Bears revendique un vol de données, Atos enquête L’année pourrait-elle finir plus mal pour Atos ? Son équipe de cybersécurité investigue sur les allégations du groupe cybercriminel Space Bears affirmant avoir compromis une base de données. Aucune demande de rançon n’a été reçue à ce jour, déclare le spécialiste français de l’informatique, […]

Disponible sur: veille.portail-rgpd.com

Tietosuoja (autorité finlandaise)

20 décembre 2024

950 000 euros d’amende pour le Sambla Group, fournisseur de services de comparaison de prêts, en raison de négligences en matière de sécurité des données L’autorité finlandaise a annoncé aujourd’hui avoir imposé une amende de 950 000 euros au Sambla Group, fournisseur de services de comparaison de prêts, en raison de sa faible sécurité des […]

Disponible sur: veille.portail-rgpd.com

GPDP (autorité italienne)

20 décembre 2024

En Italie, OpenAI condamné à réaliser une campagne d’information de six mois et payer une amende de 15 millions d’euros. L’autorité italienne a annoncé aujourd’hui avoir adopté une décision corrective et sanctionnatrice à l’encontre d’OpenAI en lien avec la gestion du service ChatGPT. La décision, qui constate les violations précédemment reprochées à la société californienne, […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

18 décembre 2024

Un hôpital polonais condamné à une amende de 6900 euros pour ne pas avoir notifié sa violation de données dans les délais … alors qu’il ne l’avait pas découverte Le Président de l’UODO, Mirosław Wróblewski, a aujourd’hui annoncé avoir infligé une amende de 29 648 PLN (environ 6900 euros) à l’Hôpital de district de Września […]

Disponible sur: veille.portail-rgpd.com

DPC (autorité irlandaise)

17 décembre 2024

La Commission irlandaise de protection des données inflige une amende de 251 millions d’euros à Meta La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui ses décisions finales à la suite de deux enquêtes sur Meta Platforms Ireland Limited. Ces enquêtes ont été lancées par la DPC à la suite d’une violation de […]

Disponible sur: veille.portail-rgpd.com

ICO (autorité anglaise)

11 décembre 2024

Un employé d’une compagnie d’assurance condamné à une peine de prison avec sursis pour avoir accédé illégalement à des informations personnelles Dans un article publié ce jour, l’ICO a annoncé qu’un employé d’une compagnie d’assurance automobile qui avait accédé illégalement à des informations personnelles a été condamné à une peine de prison avec sursis à […]

Disponible sur: veille.portail-rgpd.com

APD (autorité belge)

05 décembre 2024

L’autorité belge impose une amende de 25 000 euros contre l’Institut des Conseillers Fiscaux et des Comptables (ITAA) Aujourd’hui, l’autorité belge a publié une décision de sanction à l’encontre de l’Institut des Conseillers Fiscaux et des Comptables (ITAA), anciennement le BIBF (Institut des Experts-Comptables et des Fiscalistes agréés), qui est l’entité en charge de gérer […]

Disponible sur: veille.portail-rgpd.com