Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel

1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

En savoir plus...

L'article 33 du RGPD régit les obligations du responsable du traitement et du sous-traitant en cas de violation de données.
Le paragraphe 1 impose aux responsables du traitement l'obligation de notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans un délai raisonnable lorsque cette violation est susceptible d'engendrer un risque pour les droits et libertés de personnes physiques. Le paragraphe 2 impose une obligation correspondante au sous-traitant, la seule différence étant que le destinataire de la notification doit être le responsable du traitement. Le paragraphe 3 dresse une liste non exhaustive des informations qui doivent être fournies à l'autorité de contrôle. Le paragraphe 4 donne aux responsables du traitement la possibilité de partager les détails de la violation en différentes phases lorsque toutes les informations ne peuvent être fournies en même temps. Enfin, en vertu du paragraphe 5, et conformément au principe de responsabilité, le responsable du traitement doit documenter toute violation de données, y compris les faits, les effets et les mesures correctives prises.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Motifs et délais de la notification d'une violation]
85. Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

[Vérification des mesures de sécurité et des délais]
87. Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

[Règles et procédures liées à la notification d'une violation]
88. Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de cette violation, y compris du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées, limitant efficacement la probabilité d'usurpation d'identité ou d'autres formes d'abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation des données à caractère personnel.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 9/2022 - Notification en cas de violation de données

28 mars 2023, v2.0

> CEPD - Lignes directrices 01/2021 - Exemples concernant la notification de violations de données

14 décembre 2021, v2.0

Documents anciens

> WP29 - Lignes directrices - Notification en cas de violation de données

3 octobre 2017, modifiées le 6 février 2018

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

Cet article cite...

> Article 55 - Compétence

Cet article est cité par...

> Article 28 - Sous-traitant

> Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel

> Article 70 - Missions du comité

> Article 83 - Conditions générales pour imposer des amendes administratives

En savoir plus...

Droit souple (sectoriel ou transversal)

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Lien
9991064	NTT Data	08/02/2024	2024	Italie	CNIL ou équivalent	A classer		Violation de données - Délai de notification - 72 heures à compter de la découverte initiale y compris par un sous-traitant - Prise en compte du nombre d'acteurs impliqués - Absence		(Traduction) 4. [...] À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est « important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures; [...] Cela s’applique également lorsque, comme dans le cas présent, un sous-traitant a recours à un sous-traitant ultérieur pour l’exécution d’activités spécifiques de traitement pour le compte d’un responsable de traitement ; l’obligation d’informer le responsable de traitement prévue par l’article 33, paragraphe 2, incombe toujours au sous-traitant initial, qui n’est pas tenu d’évaluer le risque découlant de la violation avant de la signaler au responsable de traitement. [...] Dans le cas présent, NTT Data aurait donc dû informer le responsable de traitement de la violation des données personnelles sans délai, c’est-à-dire dès le 11 et 12 octobre 2018, date à laquelle Truel IT en a eu connaissance.	28, 33	39c9c4e0ab390e751b96a98212ede77eecceb022		Accéder à la décision traduite par machine ou Accéder à la décision officielle
C-340/21	Natsionalna agentsia za prihodite	14/12/2023	2023	Bulgarie	Cour de Justice de l'UE	A classer		Crainte d’un potentiel usage abusif de données personnelles par un tiers - Constitutif d'un dommage moral - Admission sous conditions probatoires		86. L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.	33, 82	39c9c4e0ab390e751b96a98212ede77eecceb022		Accéder à la décision
449694	M. D… C…	22/07/2022	2022	France	Conseil d'Etat	Portée de l'obligation		Obligation du responsable du traitement de notifier à la CNIL une violation de données à caractère personnel - Portée	Afficher Il résulte de l'instruction qu'à la suite du signalement sur le site internet " 01net.com " de l'existence, dans différents pays, de serveurs informatiques d'imagerie médicale en libre accès, les services de la Commission nationale de l'informatique et des libertés (CNIL) ont procédé les 20 et 24 septembre 2019 à des contrôles en ligne qui ont confirmé le caractère librement accessible de telles données par des serveurs localisés en France. Après avoir obtenu l'identité et les coordonnées des adresses IP afférentes, la délégation de contrôle de la CNIL a, par un courrier électronique du 8 octobre 2019, notamment, notifié à M. C..., chirurgien orthopédiste, le contrôle en ligne qu'elle avait effectué, après l'avoir informé du caractère librement accessible des images médicales de ses patients à partir de l'adresse IP de son serveur. Par un courrier électronique du 9 octobre 2019, M. C... a répondu avoir pris les mesures nécessaires pour mettre fin à la violation constatée. La formation restreinte de la CNIL a, par une délibération en date du 3 décembre 2020, prononcé à l'encontre de M. C... une amende administrative de 3 000 euros au titre des manquements constatés aux articles 32 et 33 du règlement du 27 avril 2016. M. C... demande l'annulation de cette délibération.	4. [...] Il résulte du [paragraphe 1 de l'article 33 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD)] que l'obligation de notifier à la Commission nationale de l'informatique et des libertés (CNIL) une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s'impose pas au responsable du traitement dans le cas où la CNIL l'a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.	33	39c9c4e0ab390e751b96a98212ede77eecceb022	/	<a href="Accéder à la décision" target="_blank" rel="noopener">Accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

AEPD (autorité espagnole)

04 mars 2025

Violation de données de santé : GETECCU sanctionné par l’AEPD

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre du « Groupe de travail espagnol sur la maladie de Crohn et la colite ulcéreuse » (GETECCU) suite à une faille de sécurité majeure ayant compromis des données de santé de patients dans le cadre d’un projet de recherche scientifique. L’incident a été détecté le 14 [...]

AEPD (autorité espagnole)

03 mars 2025

Violation de données à l’occasion d’une migration de site web : une entreprise de commerce en ligne sanctionnée par l’AEPD

L’Agence Espagnole de Protection des Données (AEPD) a publié une décision de sanction à l’encontre de DISEÑOS HERMANAS ORTIZ CAÑÓN, S.L. (HO) pour une violation de la confidentialité et de l’intégrité des données personnelles à la suite d’une faille de sécurité majeure, intervenue [...]

ANSPDCP (autorité roumaine)

03 mars 2025

Le fabricant d’électroménager Beko sanctionné en Roumanie en raison de problèmes de sécurité

L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction à l’encontre de BEKO ROMÂNIA SA, avec une amende de 49.766,00 lei (l’équivalent de 10.000 euros) à la clef. L’enquête de l’autorité a été engagée à la suite d’une notification de violation de donné [...]

GPDP (autorité italienne)

28 février 2025

Une société condamnée à 347 000 euros d’amende en raison de télémarketing sauvage

Dans sa newsletter du 28 février, l’autorité italienne a évoqué le cas de Wind Tre, condamné à une amende de 347 520 euros pour traitement illicite de données à caractère personnel à des fins promotionnelles et pour défaut d’adoption de mesures techniques et organisationnelles visant à garantir le respect de la vie privée [...]

APD (autorité belge)

21 février 2025

Plan de suivi éducatif d’un enfant mineur: un établissement scolaire

Ce vendredi, l’autorité belge a rendu une décision suite à l’accord amiable trouvé entre un établissement scolaire et la mère dans le cadre d’un litige lié au plan de suivi éducatif d’un enfant mineur. La mère a en effet adressé une plainte à l’autorité après avoir découvert que le plan de suivi contenait une form [...]

ANSPDCP (autorité roumaine)

20 février 2025

Violation de données de santé : l’autorité roumaine condamne l’ambulancier Medstar à une amende de 2 000 euros

L’autorité roumaine a aujourd’hui publié le résumé d’une sanction à l’encontre de l’ambulancier Medstar S.R.L en raison d’une erreur lors de la transmission de données de santé. L’enquête a été ouverte à la suite d’une plainte d’une personne con [...]

AEPD (autorité espagnole)

13 février 2025

L’AEPD inflige des sanctions à 24 (!!) entités du groupe bancaire Caja Rural suite à une violation de données personnelles

L’AEPD a, ce 13 février, publié 5 décisions de sanctions à l’encontre de 5 entités juridiques du groupe bancaire Caja Rural en raison de failles de sécurité ayant abouti à une violation de données en lien avec leur système d’authentification SSO : au total, 165 000 euros d&rs [...]

PIPC (autorité coréenne)

13 février 2025

Sekta Nine condamné à près d’1 million d’euros d’amende en Corée du Sud pour ne pas avoir notifié une violation dans les temps

La PIPC a annoncé avoir décidé d’imposer à la société Sekta Nine une amende administrative de 1,477,000,000 won et une amende de 7,200,000 won (soit environ 1 000 000 d’euros au total), pour avoir tardé à notifier et signaler une violation de données. Le contexte e [...]

ANSPDCP (autorité roumaine)

06 février 2025

L’assureur Omnisiag condamné en Roumanie pour avoir mal paramétré les accès aux données de son sous-traitant

L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction (avec une amende 14.931 lei à la clé, soit environ 3 000 euros) à l’encontre d’Omniasig Vienna Insurance Group S.A en raison d’un manquement à la sécurité des données. L’enquête a été lanc [...]

ANSPDCP (autorité roumaine)

04 février 2025

En Roumanie, 10 000 euros d’amende prononcés à l’encontre d’une entreprise de services financiers pour défaut de coopération et manquement à la sécurité

L’autorité roumaine a annoncé aujourd’hui avoir condamné V&M Contab&Management SRL [une entreprise de services financiers et juridiques] à une amende totale de 10 000 euros pour défaut de coopération et pour des manquements en matiè [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu