Article 34 du RGPD

Communication à la personne concernée d'une violation de données à caractère personnel

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 2 - sécurité des données à caractère personnel »  article 34

  1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
  2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).
  3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:
    • a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;
    • b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;
    • c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
  4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Article 34 du RGPD : Ce qu'il faut comprendre

L’article 34 du RGPD exige que, lorsqu’une violation de données présente un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement doit en informer les personnes affectées sans délai. Cela vise à permettre aux personnes concernées de prendre des mesures pour se protéger, si nécessaire.

Contenu de la communication

La communication doit être claire et compréhensible, et doit inclure les mêmes informations que celles fournies à l’autorité de contrôle selon l’article 33 :

  • Les coordonnées du délégué à la protection des données ou d’une personne à contacter pour plus d’informations.
  • Les conséquences potentielles de la violation.
  • Les mesures prises ou proposées pour remédier à la violation et limiter les conséquences négatives.

Exceptions à l’obligation de notification

Le responsable du traitement n’a pas besoin de notifier les personnes concernées si l’une des conditions suivantes est remplie :

  1. Protection technique : Si des mesures techniques adéquates (comme le chiffrement) ont été mises en place et appliquées aux données affectées, rendant les données inaccessibles à toute personne non autorisée.
  2. Mesures correctives : Si des mesures ont été prises après la violation pour garantir que le risque élevé ne se matérialise plus.
  3. Efforts disproportionnés : Si informer individuellement chaque personne concernée serait trop difficile ou coûteux. Dans ce cas, une communication publique ou une autre méthode générale peut être utilisée pour informer les personnes de manière efficace.

Rôle de l’autorité de contrôle

Si le responsable du traitement n’a pas encore informé les personnes concernées, l’autorité de contrôle peut lui ordonner de le faire si elle estime que le risque pour les droits des personnes est suffisamment élevé. L’autorité peut également décider que les conditions pour ne pas notifier sont remplies.

Article 34 du RGPD Exemples concrets

  • Exemple 1 : Fuite de données clients
    Si une entreprise subit un piratage et que les informations personnelles de ses clients sont compromises (par exemple, noms, adresses e-mail, données de paiement), elle doit avertir immédiatement les personnes concernées, en leur expliquant les risques potentiels et les mesures à prendre, comme changer leurs mots de passe.
  • Exemple 2 : Chiffrement des données
    Si les données volées lors d’un piratage sont chiffrées de manière à être incompréhensibles pour les attaquants, l’entreprise n’est pas obligée d’informer les utilisateurs, car les données restent protégées.
  • Exemple 3 : Efforts disproportionnés
    Si un incident affecte un très grand nombre de personnes et que contacter chacune individuellement serait trop complexe, l’entreprise peut publier une notification publique sur son site web ou via les médias pour informer les personnes concernées.

← Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel
Article 35 – Analyse d’impact relative à la protection des données →

Les articles du RGPD mentionnant l'article 34

Votre site internet est-il en conformité vis à vis des données personnelles ?

En cas de fuite de données depuis un site internet, les utilisateurs concernés doivent être informés si leurs données sont exposées à des risques élevés.

Faites auditer votre site gratuitement par un développeur consultant en RGPD !

Audit RGPD gratuit