Article 33 RGPD
Notification à l'autorité de contrôle d'une violation de données à caractère personnel

Chapitre 4 - Responsable du traitement et sous-traitant

Ce que dit l'Article 33 du RGPD

1.  En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2.  Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3.  La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4.  Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5.  Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

Que doit-on comprendre de l'Article 33 RGPD ?

Des exemples de sanctions dans le cadre de l'Article 33 RGPD

12251601
Autorité italienne de protection des données (Garante)
Contexte
Non-respect des principes généraux de traitement des données
En cause
Vodafone Italia Spa
En savoir plus
Masquer
6100000
Autorité espagnole de protection des données (aepd)
Contexte
Non-respect des principes généraux de traitement des données
En cause
Endesa Energia, Sau
En savoir plus
Masquer
4500000
Autorité italienne de protection des données (Garante)
Contexte
Non-respect des principes généraux de traitement des données
En cause
Fastweb Spa
En savoir plus
Masquer
2250000
Autorité française de protection des données (CNIL)
Contexte
Non-respect des principes généraux de traitement des données
En cause
Carrefour France
En savoir plus
Masquer
800000
Autorité italienne de protection des données (Garante)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Ntt Data Italia Spa
En savoir plus
Masquer
600000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte
Respect insuffisant des droits des personnes concernées
En cause
Groupe Canal +
En savoir plus
Masquer
600000
Autorité espagnole de protection des données (aepd)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Air Europa Lineas Aereas, Sa.
En savoir plus
Masquer
475000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Booking.com Bv
En savoir plus
Masquer
463000
Autorité irlandaise de protection des données
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Banque D'irlande
En savoir plus
Masquer
450000
Autorité de protection des données d'Irlande
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Entreprise Internationale Twitter
En savoir plus
Masquer
326000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Santander Bank Polska Sa
En savoir plus
Masquer
300000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte
Respect insuffisant des droits des personnes concernées
En cause
Sas Gratuit
En savoir plus
Masquer
220000
Autorité de surveillance norvégienne (Datatilsynet)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Dispositifs Médicaux À L'argon
En savoir plus
Masquer
132000
Autorité espagnole de protection des données (aepd)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Dkv Assurances Et Réassurances, Sae
En savoir plus
Masquer
78000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Banque Millénium Sa
En savoir plus
Masquer
75000
Autorité hellénique de protection des données (HDPA)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause
Ministère Grec Du Tourisme
En savoir plus
Masquer
65000
Commissaire à la protection des données de Malte
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause
C-planet (it Solutions) Limited
En savoir plus
Masquer
61500
Autorité lituanienne de protection des données (VDAI)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Fournisseur De Services De Paiement Uab Mistertango
En savoir plus
Masquer
60000
Autorité irlandaise de protection des données
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause
Conseil Des Enseignants Irlandais
En savoir plus
Masquer
40000
Autorité hellénique de protection des données (HDPA)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Vodafone
En savoir plus
Masquer
35300
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Sopockie Towarzystwo Ubezpieczeń Ergo Hestia Sa
En savoir plus
Masquer
34375
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Parti Politique Hongrois
En savoir plus
Masquer
31200
Autorité espagnole de protection des données (aepd)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Bayard Revistas, Sa
En savoir plus
Masquer
30000
Autorité italienne de protection des données (Garante)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Commune De Bolzano
En savoir plus
Masquer
30000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Enea Sa
En savoir plus
Masquer
24000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Compagnie D'assurance
En savoir plus
Masquer
24000
Autorité nationale de contrôle du traitement des données personnelles de Roumanie (ANSPDCP)
Contexte
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause
Hora Credit Ifn Sa
En savoir plus
Masquer
24000
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification des violations de données
En cause
Link4 Towarzystwo Ubezpieczeń Sa
En savoir plus
Masquer
20000
Autorité de protection des données de Hambourg
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Hamburger Verkehrsverbund Gmbh (hvv Gmbh)
En savoir plus
Masquer
18930
Office national polonais de protection des données personnelles (UODO)
Contexte
Respect insuffisant des obligations de notification de violation de données
En cause
Towarzystwo Ubezpieczeń I Reasekuracji Warta Sa
En savoir plus
Masquer
Les autres articles du chapitre

Article 24 RGPD - Responsabilité du responsable du traitement

Article 25 RGPD - Protection des données dès la conception et protection des données par défaut

Article 26 RGPD - Responsables conjoints du traitement

Article 27 RGPD - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union

Article 28 RGPD - Sous-traitant

Article 29 RGPD - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant

Article 30 RGPD - Registre des activités de traitement

Article 31 RGPD - Coopération avec l'autorité de contrôle

Article 32 RGPD - Sécurité du traitement

Article 34 RGPD - Communication à la personne concernée d'une violation de données à caractère personnel

Article 35 RGPD - Analyse d'impact relative à la protection des données

Article 36 RGPD - Consultation préalable

Article 37 RGPD - Désignation du délégué à la protection des données

Article 38 RGPD - Fonction du délégué à la protection des données

Article 39 RGPD - Missions du délégué à la protection des données

Article 40 RGPD - Codes de conduite

Article 41 RGPD - Suivi des codes de conduite approuvés

Article 42 RGPD - Certification

Article 43 RGPD - Organismes de certification

👈 Revenir à l'ensemble des articles du RGPD

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026