Article 33 : Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Sommaire :

Comprendre l’article 33

Cet article indique la procédure à suivre en cas de violation de données. Le responsable de traitement est tenu de notifier, avertir l’autorité de contrôle en cas de violation de données dans les meilleurs délais (72h maximum après en avoir pris connaissance). Si la notification excède ce délai, le retard doit être justifié. 

Le sous-traitant est tenu d’informer le responsable de traitement en cas de violation de délais. 

La notification doit indiquer (d’une façon échelonnée si toutes les informations ne sont pas connues) : 

  • la nature de la violation, les catégories et le nombre de personnes concernées et le nombre d’enregistrements de données 
  • communiquer le nom du DPO si il y en a un out tout autre référent, 
  • décrire les conséquences probables résultant de cette violation 
  • proposer des mesures à mettre en place pour limiter les conséquences de la violation

La notification n’est pas obligatoire quand il n’existe aucun risque pour les droits et libertés des personnes physiques. C’est la seule exception justifiant une absence de notification.

Le RGPD indique que toute violation de données personnelles doit être documentée.

Des questions sur le rôle du DPO au sein d’une structure ? Cet article pourrait vous intéresser : DPO : obligatoire ?  

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 33 du RGPD

  1. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

  2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

  3. La notification visée au paragraphe 1 doit, à tout le moins:

    a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

    b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

    c) décrire les conséquences probables de la violation de données à caractère personnel;

    d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

  4. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

  5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Jurisprudence

Sanction : 2 250 000€ pour Carrefour France

La formation restreinte relève que Carrefour France n’a pas su notifier la CNIL de la violation de données. La CNIL affirme que l’exception de notification justifiée par l’absence de risques pour les droits et libertés des personnes physiques n’est applicable qu’après une analyse des risques. Dès lors qu’un risque est détecté, la notification doit être immédiatement envoyée. Le risque était ici justifié par le caractère malveillant de la cyberattaque, du nombre de personnes concernées (800 000 tentatives de connexions, 4000 authentifications réussies), et du nombre important de données personnelles impliquées. Délibération du 18 novembre 2020 – Légifrance 

 

Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Il n’est pas toujours simple de s’y retrouver dans la jungle des professions juridiques. Conscient de ce problème, nous avons créé Monexpertdudroit.com pour vous aider à trouver professionnel du droit dont vous avez besoin.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.