Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel
1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
3. La notification visée au paragraphe 1 doit, à tout le moins:
- a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
- b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- c) décrire les conséquences probables de la violation de données à caractère personnel;
- d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.
En savoir plus...
L'article 33 du RGPD régit les obligations du responsable du traitement et du sous-traitant en cas de violation de données.Le paragraphe 1 impose aux responsables du traitement l'obligation de notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans un délai raisonnable lorsque cette violation est susceptible d'engendrer un risque pour les droits et libertés de personnes physiques. Le paragraphe 2 impose une obligation correspondante au sous-traitant, la seule différence étant que le destinataire de la notification doit être le responsable du traitement. Le paragraphe 3 dresse une liste non exhaustive des informations qui doivent être fournies à l'autorité de contrôle. Le paragraphe 4 donne aux responsables du traitement la possibilité de partager les détails de la violation en différentes phases lorsque toutes les informations ne peuvent être fournies en même temps. Enfin, en vertu du paragraphe 5, et conformément au principe de responsabilité, le responsable du traitement doit documenter toute violation de données, y compris les faits, les effets et les mesures correctives prises.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
85. Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.
[Vérification des mesures de sécurité et des délais]
87. Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.
[Règles et procédures liées à la notification d'une violation]
88. Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de cette violation, y compris du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées, limitant efficacement la probabilité d'usurpation d'identité ou d'autres formes d'abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation des données à caractère personnel.
Droit souple
Lignes directrices et recommandations
Documents anciens
Références
Cet article cite...
Cet article est cité par...
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Norauto victime d’une cyberattaque, les pièces d’identité de ses clients exposés La société française d’entretien et de réparation automobile a prévenu ses clients que certaines données personnelles gérées par son service location avaient été visées. Des informations sensibles en font partie, comme les numéros de pièce d’identité. La semaine dernière, un cybercriminel revendiquait l’exfiltration de […]
Ordinateur portable perdu avec des données : l’autorité polonaise sanctionne des scouts à hauteur de 24 555 PLN (environ 5700 euros) Aujourd’hui, le président de l’UODO a imposé une amende de 24 000 555 PLN à la Stołeczna Chorąg ZHP (le Cercle Régional des Scouts de Varsovie) pour n’avoir pas mis en œuvre les mesures techniques […]
La Commission de Protection des Données Personnelles inflige une amende de 1,588,650,000 won (environ 1,67 millions d’euros) à Coupang pour violation des obligations de sécurité La Commission de Protection des Données Personnelles (présidée par Koh Hak-soo, ci-après « la Commission ») a décidé le 27 novembre de sanctionner Coupang Co., Ltd. (ci-après « Coupang ») […]
Cybersécurité : La Banque de France reconnaît une intrusion mais dément une fuite de données Un groupe de pirates informatiques a revendiqué ce week-end le vol de nombreuses données sensibles appartenant à la Banque de France. Dans un message publié sur le forum de piratage BreachForums, les cybercriminels de Near2tlg assurent détenir les dossiers des […]
Direct Assurance victime d’une cyberattaque, les IBAN de 15 000 clients dérobés Les jours se suivent et, malheureusement, se ressemblent. Après Free, Auchan ou encore Picard, c’est au tour de Direct Assurance, filiale du groupe d’assurance Axa, d’être victime d’une fuite de données personnelles. Contacté par nos soins, un porte-parole a confirmé l’information. L’auteur a […]
Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales […]
Cyberattaque contre Free : La justice ordonne à Telegram de révéler l’identité du pirate Le tribunal judiciaire de Paris a ordonné à la messagerie Telegram de révéler l’identité du pirate informatique à l’origine d’une demande de rançon à Free, après une cyberattaque ayant provoqué le vol des données de 19,2 millions de clients. L’application doit […]
Une fuite de données frappe Le Point et une autre Auchan, un demi-million de clients affectés À la liste déjà fort longue d’entreprises françaises victimes de fuites de données, deux noms viennent de s’y ajouter : le magazine Le Point et, surtout, l’enseigne de grande distribution Auchan. L’enseigne de grande distribution a adressé un mail […]
La Cour fédérale allemande réalise un virement de jurisprudence en matière d’indemnisation des préjudices en lien avec le RGPD Dans un arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du RGPD, à condition que […]
Sanctions contre deux universités n’ayant pas appliqué un patch de sécurité vieux de 6 ans La Commission de protection des informations personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a annoncé avoir a voté l’imposition d’un total de 235,8 millions KRW d’amendes (environ 160 000 euros) et de 6,6 millions KRW […]
