Article 34 du RGPD
Communication à la personne concernée d'une violation de données à caractère personnel

Chapitre 4 - Responsable du traitement et sous-traitant
AccueilArticles RGPD > 
Communication à la personne concernée d'une violation de données à caractère personnel
1 - Contenu de l'article2 - Notre analyse3 - Exemple de sanctions

Ce que dit le RGPD :

1.  Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2.  La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d).

3.  La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

4.  Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

Que doit-on en comprendre ?

Des exemples de sanctions dans le cadre de cet article

4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
500000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Brico Privé
245000
Autorité polonaise de protection des données (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Cyfrowy Polsat Sa
180000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Slimpay
117000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Santander Bank Polska Sa
78000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Banque Millénium Sa
65000
Commissaire à la protection des données de Malte
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
C-planet (it Solutions) Limited
55400
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Robinson Tours Ltd. (robinson Tours Idegenforgalmi És Szolgáltató Kft.)
35300
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Sopockie Towarzystwo Ubezpieczeń Ergo Hestia Sa
34375
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Parti Politique Hongrois
25000
Autorité belge de protection des données (APD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Inconnu
20000
Autorité de protection des données de Hambourg
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Inconnu
20000
Autorité de protection des données de Hambourg
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Hamburger Verkehrsverbund Gmbh (hvv Gmbh)
19000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Inconnu
18930
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Towarzystwo Ubezpieczeń I Reasekuracji Warta Sa
18850
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Tuir Warta Sa
18700
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Centre National De Services Gouvernementaux (ngsc)
6700
Autorité danoise de protection des données (Datatilsynet)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Commune De Lejre
5500
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Śląski Uniwersytet Medyczny (université Médicale De Silésie)
3000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Fundację Promocji Mediacji I Edukacji Prawnej Lex Nostra
Les autres articles du chapitre :
Article 24 - Responsabilité du responsable du traitement
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 26 - Responsables conjoints du traitement
Article 27 - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union
Article 28 - Sous-traitant
Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Article 30 - Registre des activités de traitement
Article 31 - Coopération avec l'autorité de contrôle
Article 32 - Sécurité du traitement
Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Article 35 - Analyse d'impact relative à la protection des données
Article 36 - Consultation préalable
Article 37 - Désignation du délégué à la protection des données
Article 38 - Fonction du délégué à la protection des données
Article 39 - Missions du délégué à la protection des données
Article 40 - Codes de conduite
Article 41 - Suivi des codes de conduite approuvés
Article 42 - Certification
Article 43 - Organismes de certification
👈 Revenir à l'ensemble des articles du RGPD

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutube
Légal
Où est la bannière de cookie RGPD ?Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023