Article 33 du RGPD : Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Sommaire :

Comprendre l’article 33

Cet article 33 du RGPD indique la procédure à suivre en cas de violation de données( cyber attaque, phishing, rançongiciel…) 

En cas de violations de données, le responsable de traitement doit réagir rapidement, et a des obligations. 

Le responsable de traitement, c’est la personne chargée de prendre toutes les décisions concernant un traitement de données : comment les données sont utilisées, pour quel objectif, quelles données… Le responsable de traitement peut être une entreprise ou son dirigeant, ou le dirigeant d’un service spécifique.

Il est tenu de notifier, avertir l’autorité de contrôle en cas de violation de données dans les meilleurs délais (72h maximum après en avoir pris connaissance). Si la notification excède ce délai, le retard doit être justifié. 

Le sous-traitant est tenu d’informer le responsable de traitement en cas de violation de délais. 

La notification doit indiquer (d’une façon échelonnée si toutes les informations ne sont pas connues) : 

  • la nature de la violation, les catégories et le nombre de personnes concernées et le nombre d’enregistrements de données 
  • communiquer le nom du DPO si il y en a un out tout autre référent, 
  • décrire les conséquences probables résultant de cette violation 
  • proposer des mesures à mettre en place pour limiter les conséquences de la violation

La notification n’est pas obligatoire quand il n’existe aucun risque pour les droits et libertés des personnes physiques. C’est la seule exception justifiant une absence de notification.

Le RGPD indique que toute violation de données personnelles doit être documentée.

Des questions sur le rôle du DPO au sein d’une structure ? Cet article pourrait vous intéresser : DPO : obligatoire ?  

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Cliquez ici
Je chercher un DPO

Article 33 du RGPD

  1. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

  2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

  3. La notification visée au paragraphe 1 doit, à tout le moins:

    a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

    b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

    c) décrire les conséquences probables de la violation de données à caractère personnel;

    d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

  4. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

  5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Jurisprudence

Sanction : 2 250 000€ pour Carrefour France

La formation restreinte relève que Carrefour France n’a pas su notifier la CNIL de la violation de données. La CNIL affirme que l’exception de notification justifiée par l’absence de risques pour les droits et libertés des personnes physiques n’est applicable qu’après une analyse des risques. Dès lors qu’un risque est détecté, la notification doit être immédiatement envoyée. Le risque était ici justifié par le caractère malveillant de la cyberattaque, du nombre de personnes concernées (800 000 tentatives de connexions, 4000 authentifications réussies), et du nombre important de données personnelles impliquées. Délibération du 18 novembre 2020 – Légifrance 

 

Trouvez un Data Protection Officer
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce