📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 34 du RGPD : Communication à la personne concernée d’une violation de données à caractère personnel

Sommaire

Comprendre l’article 34

L’article 34 du RGPD précise la procédure à suivre lorsqu’une violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Dans ce cas, le responsable de traitement doit informer directement les personnes touchées, dans les meilleurs délais. Cette communication doit être rédigée en des termes clairs et compréhensibles, et expliquer la nature de la violation.

Toutefois, cette obligation de notification individuelle ne s’applique pas dans certaines situations précises :

  • Si des mesures techniques ou organisationnelles ont été prises en amont, rendant les données illisibles ou inutilisables (par exemple, un chiffrement efficace).
  • Si ces mêmes mesures permettent de neutraliser le risque que représente la violation pour les personnes concernées.
  • Si informer individuellement chaque personne nécessiterait des efforts disproportionnés. Dans ce cas, une communication publique peut être envisagée (ex. : publication sur le site web de l’entreprise).
  • Si le responsable de traitement attend les instructions de l’autorité de contrôle avant de communiquer.
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous

Article 34 du RGPD

  1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
  2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).
  3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement; b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser; c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
  4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Vous voulez avancer sur le RGPD sans perdre de temps ? Faites-vous accompagner par un DPO externe.

Jurisprudence

Sanction : 180 000 € d’amende pour Slimpay

À la suite d’une violation de données ayant concerné près de 12 millions de personnes, la CNIL a reproché à la société Slimpay de ne pas avoir informé directement les personnes concernées. La formation restreinte a estimé que, malgré le volume élevé, les personnes étaient facilement identifiables et que la nature des données – à caractère bancaire – rendait cette notification indispensable. Le risque d’usurpation d’identité était jugé suffisant pour justifier un effort de communication directe. Délibération SAN-2021-020 du 28 décembre 2021 – Légifrance
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.