RGPD Art 33 – Violation de données personnelles

lpd suisse data securite informatique privacy

Résumé de l’article 33 du RGPD sur les violations de données personnelles

L’article 33 du rgpd concerne la notification d’une violation de données à caractère personnel.

Une violation de données à caractère personnel se produit lorsque des informations personnelles (telles que le nom, l’adresse ou le numéro de téléphone) sont utilisées de manière non autorisée ou non sécurisée. Cela peut se produire de différentes manières, par exemple si un hacker parvient à accéder à ces informations ou si une entreprise les utilise de manière abusive.

L’article 33, c’est votre allié contre les fuites de données :

Selon cet article, le responsable du traitement des données (c’est-à-dire la personne ou l’entreprise qui collecte et utilise les données) doit informer l’autorité de contrôle (une organisation qui surveille l’utilisation des données) de toute violation de données dans les meilleurs délais et, si possible, dans les 72 heures suivant sa découverte.

Si la notification n’a pas lieu dans les 72 heures, elle doit être accompagnée d’un explication du retard. Le sous-traitant (c’est-à-dire une personne ou une entreprise qui traite les données pour le compte du responsable du traitement) doit également informer le responsable du traitement de toute violation de données dès qu’il en a connaissance.

données personnelles, privacy, rgpd

La notification doit inclure certaines informations, telles que la nature de la violation, le nombre de personnes et de données concernées, et les mesures prises ou proposées pour remédier à la violation. Le responsable du traitement doit également documenter toute violation de données afin que l’autorité de contrôle puisse vérifier le respect de cet article.

Actions à faire

  1. Dès qu’on découvre une violation de données à caractère personnel, on informe l’autorité de contrôle (la CNIL en France) dans les meilleurs délais (et si possible dans les 72 heures).
  2. Si on ne peut pas informer l’autorité de contrôle dans les 72 heures, on explique pourquoi dans la notification.
  3. On informe le responsable du traitement de toute violation de données dès qu’on en a connaissance.
  4. La notification à l’autorité de contrôle doit inclure des informations sur la nature de la violation, le nombre de personnes et de données concernées, et les mesures proposées pour remédier à la violation.
  5. On documente toute violation de données afin que l’autorité de contrôle puisse vérifier le respect de cet article.

Texte complet de l’article 33

Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel

  1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
  2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
  3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

  1. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
  2. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.
RGPD