📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 33 du RGPD : Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Sommaire

Comprendre l’article 33

L’article 33 du RGPD fixe la procédure à suivre en cas de violation de données personnelles (cyberattaque, phishing, rançongiciel, etc.).

En cas d’incident, le responsable de traitement doit réagir rapidement et respecter plusieurs obligations. Ce dernier est la personne – physique ou morale – qui détermine les finalités et les moyens du traitement : il peut s’agir d’une entreprise, de son dirigeant, ou du responsable d’un service spécifique.

Il lui incombe de notifier l’autorité de contrôle compétente (comme la CNIL), dans un délai maximal de 72 heures après avoir pris connaissance de la violation. En cas de dépassement de ce délai, le retard doit être justifié.

Le sous-traitant, de son côté, a l’obligation d’informer sans délai le responsable de traitement dès qu’il a connaissance d’une violation.

La notification adressée à l’autorité doit contenir les informations suivantes (même de manière progressive, si nécessaire) :

  • La nature de la violation, les catégories de personnes concernées, leur nombre, ainsi que le nombre d’enregistrements de données affectés.
  • L’identité du DPO (s’il existe) ou d’un autre point de contact pertinent.
  • Une description des conséquences probables de la violation.
  • Les mesures prises, ou envisagées, pour remédier à l’incident et en atténuer les effets.

La notification n’est pas requise si l’incident ne présente aucun risque pour les droits et libertés des personnes concernées. Il s’agit de la seule exception admise.

Par ailleurs, le RGPD impose de documenter toute violation de données, que celle-ci fasse ou non l’objet d’une notification.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous

Article 33 du RGPD

  1. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
  2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
  3. La notification visée au paragraphe 1 doit, à tout le moins:a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés; b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; c) décrire les conséquences probables de la violation de données à caractère personnel; d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
  4. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
  5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Vous voulez avancer sur le RGPD sans perdre de temps ? Faites-vous accompagner par un DPO externe.

Jurisprudence

Sanction : 2 250 000 € pour Carrefour France

Dans cette affaire, la CNIL a sanctionné Carrefour France pour ne pas avoir respecté son obligation de notification à la suite d’une violation de données personnelles. L’entreprise avait estimé que l’incident ne présentait pas de risque pour les personnes concernées, justifiant ainsi l’absence de notification. Or, la CNIL rappelle que cette exception ne peut s’appliquer qu’après une analyse rigoureuse des risques. En l’espèce, plusieurs éléments rendaient la notification obligatoire : le caractère malveillant de la cyberattaque, le volume important de données concernées, et l’ampleur des tentatives d’accès (800 000 tentatives de connexion, dont 4 000 authentifications réussies). Délibération du 18 novembre 2020 – Légifrance
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.