Article 33 du RGPD

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 2 - sécurité des données à caractère personnel »  article 33

  1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
  2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
  3. La notification visée au paragraphe 1 doit, à tout le moins:
    • a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
    • b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
    • c) décrire les conséquences probables de la violation de données à caractère personnel;
    • d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
  4. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
  5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.

Article 33 du RGPD : Ce qu'il faut comprendre

L’article 33 du RGPD concerne la notification en cas de violation de données personnelles. Si une entreprise ou un responsable du traitement découvre une violation de données (comme un piratage ou une perte accidentelle), elle doit en informer l’autorité de contrôle dans un délai de 72 heures maximum, sauf si la violation n’engendre pas de risques pour les droits et libertés des personnes concernées. Si l’entreprise ne peut pas respecter ce délai, elle doit expliquer pourquoi.

Sous-traitants

Les sous-traitants doivent informer le responsable du traitement de toute violation dès qu’ils en ont connaissance, pour que celui-ci puisse à son tour notifier l’autorité compétente.

Contenu de la notification

La notification à l’autorité de contrôle doit inclure :

  1. Description de la violation : Détails sur la nature de la violation, y compris, si possible, le nombre approximatif de personnes concernées et d’enregistrements de données affectés.
  2. Coordonnées : Le nom et les coordonnées du délégué à la protection des données (DPO) ou de toute autre personne à contacter pour obtenir plus d’informations.
  3. Conséquences : Une description des conséquences potentielles de la violation pour les personnes concernées.
  4. Mesures prises : Une explication des actions entreprises ou prévues pour corriger la violation et atténuer ses effets négatifs.

Si toutes les informations ne sont pas disponibles immédiatement, elles peuvent être fournies en plusieurs étapes, mais sans retard excessif.

Documentation des violations

Le responsable du traitement doit documenter chaque violation de données, y compris les faits, les effets et les mesures prises pour y remédier. Cette documentation doit être disponible pour que l’autorité de contrôle puisse vérifier que le responsable respecte bien ses obligations.

Article 33 du RGPD – Exemples concrets

  • Exemple 1 : Piratage de données clients
    Une entreprise subit un piratage qui expose les informations personnelles de ses clients. Elle a 72 heures pour en informer l’autorité de contrôle et doit fournir les détails sur l’incident, le nombre de clients concernés, les risques potentiels et les mesures prises pour sécuriser les données.
  • Exemple 2 : Sous-traitant envoie une alerte
    Un prestataire de service cloud détecte une faille de sécurité affectant les données qu’il traite pour le compte d’une autre entreprise. Il doit informer immédiatement le responsable du traitement, qui doit à son tour notifier l’autorité compétente.
  • Exemple 3 : Perte d’un support de stockage
    Un employé perd une clé USB contenant des informations personnelles sensibles. L’entreprise doit documenter cet incident, le signaler à l’autorité de contrôle (s’il y a un risque pour les personnes concernées) et expliquer les mesures prises pour éviter que cela ne se reproduise.

← Article 32 – Sécurité du traitement
Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel →

Les articles du RGPD mentionnant l'article 33

Votre site internet est-il en conformité vis à vis des données personnelles ?

Si un site internet subit une violation de données, il doit notifier les autorités et, dans certains cas, les utilisateurs.

Faites auditer votre site gratuitement par un développeur consultant en RGPD !

Audit RGPD gratuit