Article 34 du RGPD
Communication à la personne concernée d'une violation de données à caractère personnel

Chapitre 4 - Responsable du traitement et sous-traitant
AccueilArticles RGPD > 
Communication à la personne concernée d'une violation de données à caractère personnel
Contenu de l'article2 - Notre analyseExemple de sanctions

Ce que dit l'Article 34 du RGPD

1.  Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2.  La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d).

3.  La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

4.  Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

Que doit-on comprendre de l'Article 34 du RGPD ?

Des exemples de sanctions dans le cadre de l'Article 34 du RGPD

6100000
Autorité espagnole de protection des données (aepd)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Endesa Energia, Sau
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
600000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Groupe Canal +
600000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Électricité De France
600000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Accor Sa
500000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Brico Privé
463000
Autorité irlandaise de protection des données
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Banque D'irlande
326000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Santander Bank Polska Sa
326000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Santander Bank Polska Sa
245000
Autorité polonaise de protection des données (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Cyfrowy Polsat Sa
180000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Slimpay
117000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Santander Bank Polska Sa
78000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Banque Millénium Sa
65000
Commissaire à la protection des données de Malte
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Inconnu
65000
Commissaire à la protection des données de Malte
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
C-planet (it Solutions) Limited
55400
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Robinson Tours Ltd. (robinson Tours Idegenforgalmi És Szolgáltató Kft.)
48000
Autorité espagnole de protection des données (aepd)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Institut Marqués Obstetricia I Ginecologia, Slp
48000
Autorité espagnole de protection des données (aepd)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Institut Marqués Obstetricia I Ginecologia, Slp
35300
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Sopockie Towarzystwo Ubezpieczeń Ergo Hestia Sa
34375
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Parti Politique Hongrois
25000
Autorité belge de protection des données (APD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Inconnu
23000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Ministre Polonais De La Santé
20000
Autorité de protection des données de Hambourg
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Hamburger Verkehrsverbund Gmbh (hvv Gmbh)
19000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Inconnu
18930
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Towarzystwo Ubezpieczeń I Reasekuracji Warta Sa
18850
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Tuir Warta Sa
12450
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Géodésique Lumineuse Kraju
11100
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Coopérative D'habitation
10600
Office national polonais de protection des données personnelles (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Entreprise
10000
Autorité hellénique de protection des données (HDPA)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Banque Du Pirée
Les autres articles du chapitre :
Article 24 RGPD - Responsabilité du responsable du traitement
Article 25 RGPD - Protection des données dès la conception et protection des données par défaut
Article 26 RGPD - Responsables conjoints du traitement
Article 27 RGPD - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union
Article 28 RGPD - Sous-traitant
Article 29 RGPD - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Article 30 RGPD - Registre des activités de traitement
Article 31 RGPD - Coopération avec l'autorité de contrôle
Article 32 RGPD - Sécurité du traitement
Article 33 RGPD - Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Article 35 RGPD - Analyse d'impact relative à la protection des données
Article 36 RGPD - Consultation préalable
Article 37 RGPD - Désignation du délégué à la protection des données
Article 38 RGPD - Fonction du délégué à la protection des données
Article 39 RGPD - Missions du délégué à la protection des données
Article 40 RGPD - Codes de conduite
Article 41 RGPD - Suivi des codes de conduite approuvés
Article 42 RGPD - Certification
Article 43 RGPD - Organismes de certification
👈 Revenir à l'ensemble des articles du RGPD

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Produits
Logiciel RGPDSensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataApplication mobile veille RGPD
Leto
Nous rejoindreContactA proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2025