Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel

1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:
  • a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
  • b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  • c) décrire les conséquences probables de la violation de données à caractère personnel;
  • d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

En savoir plus...

L'article 33 du RGPD régit les obligations du responsable du traitement et du sous-traitant en cas de violation de données.
Le paragraphe 1 impose aux responsables du traitement l'obligation de notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans un délai raisonnable lorsque cette violation est susceptible d'engendrer un risque pour les droits et libertés de personnes physiques. Le paragraphe 2 impose une obligation correspondante au sous-traitant, la seule différence étant que le destinataire de la notification doit être le responsable du traitement. Le paragraphe 3 dresse une liste non exhaustive des informations qui doivent être fournies à l'autorité de contrôle. Le paragraphe 4 donne aux responsables du traitement la possibilité de partager les détails de la violation en différentes phases lorsque toutes les informations ne peuvent être fournies en même temps. Enfin, en vertu du paragraphe 5, et conformément au principe de responsabilité, le responsable du traitement doit documenter toute violation de données, y compris les faits, les effets et les mesures correctives prises.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Motifs et délais de la notification d'une violation]
85. Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

[Vérification des mesures de sécurité et des délais]
87. Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

[Règles et procédures liées à la notification d'une violation]
88. Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de cette violation, y compris du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées, limitant efficacement la probabilité d'usurpation d'identité ou d'autres formes d'abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation des données à caractère personnel.

Droit souple

Références

En savoir plus...



Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - Applications mobiles
21 juillet 2023
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020

Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019

Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Actualités

Profitez de nos actualités en lien avec cet article !

ANSPDCP (autorité roumaine)
06 février 2025

L’assureur Omnisiag condamné en Roumanie pour avoir mal paramétré les accès aux données de son sous-traitant

L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction (avec une amende 14.931 lei à la clé, soit environ 3 000 euros) à l’encontre d’Omniasig Vienna Insurance Group S.A en raison d’un manquement à la sécurité des données. L’enquête a été lanc [...]

UODO (autorité polonaise)
04 février 2025

Surveillance vidéo cachée dans le service de néonatologie : amende de 271 000 euros pour le centre médical concerné

Le président de l’UODO, Mirosław Wróblewski, a annoncé avoir infligé deux amendes au Centre Médical Ujastek Sp. z o.o. basé à Cracovie, d’un montant total de 1 145 891,25 PLN (soit environ 271 000 euros) pour avoir installé des dispositifs d’enregistrement d’image dans 2 salles du s [...]

ANSPDCP (autorité roumaine)
04 février 2025

En Roumanie, 10 000 euros d’amende prononcés à l’encontre d’une entreprise de services financiers pour défaut de coopération et manquement à la sécurité

L’autorité roumaine a annoncé aujourd’hui avoir condamné V&M Contab&Management SRL [une entreprise de services financiers et juridiques] à une amende totale de 10 000 euros pour défaut de coopération et pour des manquements en matiè [...]

GPDP (autorité italienne)
02 février 2025

Manquement à la sécurité dans la conception du « dossier médical partagé » italien : trois structures condamnées à 10 000 euros d’amende 

Dans sa newsletter du 31 janvier, l’autorité est revenue sur les trois sanctions de 10 000 euros (chacune), imposées respectivement à la Région Molise, à la Molise Data Company et à Engineering Ingegneria informatica S.p.A., en raison de mauvaises pratiques en termes de sé [...]

CNIL
28 janvier 2025

Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ?

En 2024, la CNIL a été notifiée de 5 629 violations de données personnelles, soit 20 % de plus qu’en 2024. Au-delà de cet accroissement notable, la tendance la plus préoccupante est celle d’une recrudescence de violations de très grande ampleur. En plus des violations sans précédent qui ont concernées les opérateurs [...]

L’Usine digitale
15 janvier 2025

Kiabi touché par une cyberattaque, les coordonnées bancaires de 20 000 clients dérobées

L’enseigne de distribution de prêt-à-porter Kiabi a été touchée par une fuite de données. “Le 7 janvier, les équipes du site seconde main de Kiabi ont détecté une cyberattaque par ‘credential stuffing’, précise la société. Ce type d’attaque utilise les identifiants issus de fuites de données d’autres si [...]

PIPC (autorité coréenne)
12 janvier 2025

Amende d’environ 1,7 millions d’euros contre le Bureau administratif des tribunaux pour fuite de numéro de registre et violation des obligations de sécurité 

La PIPC (présidée par Ko Hak-soo) a tenu sa première réunion plénière le 8 janvier et a décidé d’imposer une amende administrative de 270 millions de wons et une amende de 6 millions de wons (soit environ 183 000 euros au total) au Bureau administ [...]

UODO (autorité polonaise)
02 janvier 2025

Des erreurs organisationnelles lors de la reconstruction du site web peuvent entraîner la divulgation de données : Panek SA condamné à 358 000 euros d’amende

L’autorité polonaise a aujourd’hui annoncé avoir condamné la société Panek SA pour n’avoir pas mis en œuvre les mesures techniques et organisationnelles appropriées garantissant la sécurité du traitement des données, sur la base d’une [...]

L’Usine digitale
02 janvier 2025

Une faille de sécurité expose les données personnelles de 800 000 automobilistes

L’incident s’est produit à la suite d’une erreur de configuration dans les systèmes de Cariad, la division logicielle du groupe Volkswagen. Plusieurs téraoctets de données non protégés sont ainsi restés accessibles pendant quelques mois depuis une instance cloud Amazon. En exploitant un logiciel gratuit, le média allemand [...]

L’Usine digitale
02 janvier 2025

Ransomware : Space Bears revendique un vol de données, Atos enquête

L’année pourrait-elle finir plus mal pour Atos ? Son équipe de cybersécurité investigue sur les allégations du groupe cybercriminel Space Bears affirmant avoir compromis une base de données. Aucune demande de rançon n’a été reçue à ce jour, déclare le spécialiste français de l’informatique, qui dément l’information. Atos déclare [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu
Retour en haut