Article 34 du RGPD : Communication à la personne concernée d’une violation de données à caractère personnel

Sommaire :

Comprendre l’article 34

Cet article indique la procédure à suivre lorsqu’une violation de données personnelles crée un risque élevé pour les droits et libertés d’une personne physique. En effet, il incombe au responsable de traitement d’avertir la personne concernée dans les meilleurs délais. 

L’article 34 du RGPD nous indique que cette communication à la personne concernée doit décrire en des termes clairs et simples la nature de la violation de données à caractère personnel. 

Le responsable de traitement peut s’exempter de cette obligation dans les situations suivantes : 

  • si des mesures techniques/organisationnelles préalables ont permis de rendre inutilisables les données concernées (exemple : chiffrement)

     

  • des mesures techniques et organisationnelles mises en place préalablement ont permis de rendre irréalisable le risque créé par la violation de données,

     

  • si la communication à chaque personne concernée exige des efforts disproportionnées, dans ce cas il est recommandé d’effectuer une annonce publique (ici, le chiffre importe peu ; il s’agit davantage de la possibilité matérielle de contacter les personnes concernées )

     

  • s’il est dans l’attente de l’avis de l’autorité de contrôle avertie 

Cet article pourrait vous intéresser : Comment choisir son DPO ?

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Cliquez ici
Je chercher un DPO

Article 34 du RGPD

  1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

  2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).

  3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

    a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

    b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;

    c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

  4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Jurisprudence 

Sanction : 180 000€ d’amende pour Slimpay

Après une violation de données conséquentes (12 millions de personnes concernées), la CNIL reproche à la société de ne pas avoir prévenu directement les personnes concernées. Malgré le chiffre important, les personnes concernées étaient facilement identifiables et la nature des données (bancaires) justifiait un tel effort devant le risque créé (usurpation d’identité). Délibération SAN-2021-020 du 28 décembre 2021 – Légifrance 

Trouvez un Data Protection Officer
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce