Article 34 du RGPD
Communication à la personne concernée d'une violation de données à caractère personnel

Chapitre 4 - Responsable du traitement et sous-traitant
Communication à la personne concernée d'une violation de données à caractère personnel

Ce que dit le RGPD :

1.  Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2.  La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d).

3.  La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

4.  Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

Que doit-on en comprendre ?

Des exemples de sanctions dans le cadre de cet article

4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
500000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Brico Privé
245000
Autorité polonaise de protection des données (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Cyfrowy Polsat Sa
180000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Slimpay
117000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Santander Bank Polska Sa
78000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Banque Millénium Sa
65000
Commissaire à la protection des données de Malte
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
C-planet (it Solutions) Limited
55400
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Robinson Tours Ltd. (robinson Tours Idegenforgalmi És Szolgáltató Kft.)
35300
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Sopockie Towarzystwo Ubezpieczeń Ergo Hestia Sa
34375
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Parti Politique Hongrois
25000
Autorité belge de protection des données (APD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Inconnu
20000
Autorité de protection des données de Hambourg
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Inconnu
20000
Autorité de protection des données de Hambourg
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Hamburger Verkehrsverbund Gmbh (hvv Gmbh)
19000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Inconnu
18930
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Towarzystwo Ubezpieczeń I Reasekuracji Warta Sa
18850
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Tuir Warta Sa
18700
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Centre National De Services Gouvernementaux (ngsc)
6700
Autorité danoise de protection des données (Datatilsynet)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Commune De Lejre
5500
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Śląski Uniwersytet Medyczny (université Médicale De Silésie)
3000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Fundację Promocji Mediacji I Edukacji Prawnej Lex Nostra

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre