Article 33 RGPD
Notification à l'autorité de contrôle d'une violation de données à caractère personnel

Chapitre 4 - Responsable du traitement et sous-traitant

Ce que dit l'Article 33 du RGPD

1.  En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2.  Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3.  La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4.  Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5.  Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

Que doit-on comprendre de l'Article 33 RGPD ?

Des exemples de sanctions dans le cadre de l'Article 33 RGPD

2250000
Autorité française de protection des données (CNIL)
Contexte
Non-respect des principes généraux de traitement des données
En cause
Carrefour France
En savoir plus
Masquer
463000
Autorité irlandaise de protection des données
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Banque D'irlande
En savoir plus
Masquer
300000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte
Respect insuffisant des droits des personnes concernées
En cause
Sas Gratuit
En savoir plus
Masquer
220000
Autorité de surveillance norvégienne (Datatilsynet)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Dispositifs Médicaux À L'argon
En savoir plus
Masquer
61500
Autorité lituanienne de protection des données (VDAI)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Fournisseur De Services De Paiement Uab Mistertango
En savoir plus
Masquer
60000
Autorité irlandaise de protection des données
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause
Conseil Des Enseignants Irlandais
En savoir plus
Masquer
34375
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Parti Politique Hongrois
En savoir plus
Masquer
30000
Autorité italienne de protection des données (Garante)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Commune De Bolzano
En savoir plus
Masquer
30000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Enea Sa
En savoir plus
Masquer
24000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Compagnie D'assurance
En savoir plus
Masquer
24000
Autorité nationale de contrôle du traitement des données personnelles de Roumanie (ANSPDCP)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Hora Credit Ifn Sa
En savoir plus
Masquer
24000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Link4 Towarzystwo Ubezpieczeń Sa
En savoir plus
Masquer
20000
Autorité de protection des données de Hambourg
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Hamburger Verkehrsverbund Gmbh (hvv Gmbh)
En savoir plus
Masquer
18930
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Towarzystwo Ubezpieczeń I Reasekuracji Warta Sa
En savoir plus
Masquer
18850
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Tuir Warta Sa
En savoir plus
Masquer
18000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Toyota Bank Polska Sa
En savoir plus
Masquer
16400
Autorité de protection des données du Land de Hesse
Contexte
Base juridique insuffisante pour le traitement des données
En cause
Centre De Test Covid-19
En savoir plus
Masquer
15000
Commissaire chypriote à la protection des données
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Bank Of Cyprus Public Company Ltd
En savoir plus
Masquer
13400
Autorité danoise de protection des données (Datatilsynet)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Les Serments Civils
En savoir plus
Masquer
12450
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Géodésique Lumineuse Kraju
En savoir plus
Masquer
11100
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Coopérative D'habitation
En savoir plus
Masquer
10000
Autorité italienne de protection des données (Garante)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Azienda Sanitaire Locale Roma 3
En savoir plus
Masquer
10000
Autorité hellénique de protection des données (HDPA)
Contexte
Non-respect des principes généraux de traitement des données
En cause
Banque Du Pirée
En savoir plus
Masquer
5000
Autorité nationale de contrôle du traitement des données personnelles de Roumanie (ANSPDCP)
Contexte
Base juridique insuffisante pour le traitement des données
En cause
Kredyt Inkaso Investments Ro Sa
En savoir plus
Masquer
5000
Autorité nationale roumaine de contrôle du traitement des données personnelles (ANSPDCP)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Dada Creation Srl
En savoir plus
Masquer
3600
Autorité espagnole de protection des données (aepd)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Saunier-tec Mantenimientos De Calor Y Frio, Sl.
En savoir plus
Masquer
3500
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Esselmann Technika Pojazdowa Sp. Z O.o. Z Oo Sp. Z O.o. K.
En savoir plus
Masquer
3000
Autorité nationale roumaine de surveillance du traitement des données à caractère personnel (ANSPDCP)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause
Actamedica Srl
En savoir plus
Masquer
3000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Fundację Promocji Mediacji I Edukacji Prawnej Lex Nostra
En savoir plus
Masquer
2300
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Tribunal De District De Cracovie
En savoir plus
Masquer
Les autres articles du chapitre

Article 24 RGPD - Responsabilité du responsable du traitement

Article 25 RGPD - Protection des données dès la conception et protection des données par défaut

Article 26 RGPD - Responsables conjoints du traitement

Article 27 RGPD - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union

Article 28 RGPD - Sous-traitant

Article 29 RGPD - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant

Article 30 RGPD - Registre des activités de traitement

Article 31 RGPD - Coopération avec l'autorité de contrôle

Article 32 RGPD - Sécurité du traitement

Article 34 RGPD - Communication à la personne concernée d'une violation de données à caractère personnel

Article 35 RGPD - Analyse d'impact relative à la protection des données

Article 36 RGPD - Consultation préalable

Article 37 RGPD - Désignation du délégué à la protection des données

Article 38 RGPD - Fonction du délégué à la protection des données

Article 39 RGPD - Missions du délégué à la protection des données

Article 40 RGPD - Codes de conduite

Article 41 RGPD - Suivi des codes de conduite approuvés

Article 42 RGPD - Certification

Article 43 RGPD - Organismes de certification

👈 Revenir à l'ensemble des articles du RGPD

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026