Article 33 du RGPD

Responsable du traitement et sous-traitant

Ce que dit le RGPD :

1.  En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2.  Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3.  La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4.  Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5.  Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

Que doit-on en comprendre ?

Des exemples de sanctions dans le cadre de cet article

12251601
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Vodafone Italia Spa
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
2250000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Carrefour France
600000
Autorité espagnole de protection des données (aepd)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Air Europa Lineas Aereas, Sa.
475000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Booking.com Bv
450000
Autorité de protection des données d'Irlande
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Entreprise Internationale Twitter
61500
Autorité lituanienne de protection des données (VDAI)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Fournisseur De Services De Paiement Uab Mistertango
40000
Autorité de protection des données d'Irlande
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Agence De L'enfance Et De La Famille De Tusla
35300
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Sopockie Towarzystwo Ubezpieczeń Ergo Hestia Sa
34375
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Parti Politique Hongrois
30000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Enea Sa
25000
Autorité belge de protection des données (APD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Inconnu
20000
Autorité de protection des données de Hambourg
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Inconnu
20000
Autorité nationale roumaine de contrôle du traitement des données personnelles (ANSPDCP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Vreau Credit Srl
20000
Autorité de protection des données de Hambourg
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Hamburger Verkehrsverbund Gmbh (hvv Gmbh)
18930
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Towarzystwo Ubezpieczeń I Reasekuracji Warta Sa
18850
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Tuir Warta Sa
18700
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Centre National De Services Gouvernementaux (ngsc)
15150
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Inconnu
15000
Commissaire chypriote à la protection des données
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Bank Of Cyprus Public Company Ltd
14000
Autorité nationale roumaine de contrôle du traitement des données personnelles (ANSPDCP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Hora Credit Ifn Sa
7500
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Pvv Overijssel
7400
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Hôpital Militaire
6700
Autorité danoise de protection des données (Datatilsynet)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Commune De Lejre
5500
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Śląski Uniwersytet Medyczny (université Médicale De Silésie)

S'inscrire à la newsletter de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre
En cliquant sur "Accepter", vous acceptez le stockage de cookies sur votre appareil qui permettent d'améliorer la navigation du site, analyser les statistiques et nous soutenir dans nos efforts marketing. N'hésitez pas à consulter notre Politique de confidentialité pour toute information complémentaire.