Art. 33
1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
3. La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation a insi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.
|
1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard.
2. En vertu de l’article 26, paragraphe 2, point f), le sous-traitant alerte et informe le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel.
3. La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés;
b) communiquer l’identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;
d) décrire les conséquences de la violation de données à caractère personnel;
e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel.
4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin.
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à l’établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.
6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire type et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
|
1. En cas de violation de données à caractère personnel susceptible d'exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés, par exemple une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important, le responsable du traitement en adresse notification à l'autorité de contrôle compétente conformément à l'article 51, sans retard injustifié et, si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 72 heures, la notification comporte une motivation.
1 bis. La notification visée au paragraphe 1 n'est pas requise si une communication à la personne concernée n'est pas nécessaire aux termes de l'article 32, paragraphe 3, points a) et b).
2. (…) Le sous-traitant informe le responsable du traitement de la violation de données à caractère personnel sans retard injustifié après en avoir pris connaissance.
3. La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel y compris, si possible et s'il y a lieu, les catégories et le nombre approximatifs de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données concernés;
b) communiquer l'identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) (…)
d) décrire les conséquences probables de la violation de données à caractère personnel constatée par le responsable du traitement;
e) décrire les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données à caractère personnel;
et f) le cas échéant, indiquer des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel.
3 bis. Si et dans la mesure où il n'est pas possible de fournir les informations visées au paragraphe 3, points d), e) et f), en même temps que les informations visées au paragraphe 3, points a) et b), le responsable du traitement fournit ces informations sans autre retard justifié.
4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel visée aux paragraphes 1 et 2, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. (…)
5. (…)
6. (…)
|
Règlement (UE) No 611/2013 de la commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques
Art. 2
Notification à l’autorité nationale compétente
1. Le fournisseur notifie toutes les violations de données à caractère personnel à l’autorité nationale compétente.
2. Le fournisseur notifie la violation de données à caractère personnel à l’autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation, si possible.
Le fournisseur fournit les informations visées à l’annexe I dans sa notification à l’autorité nationale compétente.
Le constat d’une violation de données à caractère personnel est considéré comme établi dès lors que le fournisseur dispose d’assez d’éléments indiquant qu’il s’est produit un incident de sécurité ayant compromis des données à caractère personnel pour justifier une notification conformément au présent règlement.
3. Si les informations visées à l’annexe I ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie, le fournisseur est autorisé à transmettre une notification initiale à l’autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation. Cette notification initiale comprend les informations visées à la partie 1 de l’annexe I. Le fournisseur transmet une seconde notification à l’autorité nationale compétente le plus rapidement possible et au plus tard trois jours après la notification initiale. Cette seconde notification comprend les informations visées à la partie 2 de l’annexe I et, si nécessaire, actualise les informations déjà fournies.
Si le fournisseur, malgré ses recherches, n’est pas en mesure de fournir toutes les informations dans le délai de trois jours à compter de la notification initiale, il notifie toutes les informations qu’il a recueillies dans ce délai et présente à l’autorité nationale compétente une justification valable de la notification tardive des informations restantes. Le fournisseur notifie dès que possible les informations restantes à l’autorité nationale compétente et, si nécessaire, actualise les informations déjà fournies.
4. L’autorité nationale compétente met à la disposition de tous les fournisseurs établis dans l’État membre concerné un moyen électronique sécurisé de notification des violations de données à caractère personnel ainsi que des informations sur les procédures pour y accéder et l’utiliser. Si nécessaire, la Commission organise des réunions avec les autorités nationales compétentes pour faciliter l’application de cette disposition.
5. Si la violation de données à caractère personnel porte atteinte à des abonnés ou des particuliers d’États membres autres que celui de l’autorité nationale compétente à laquelle la violation a été notifiée, ladite autorité informe les autres autorités nationales concernées.
Pour faciliter l’application de cette disposition, la Commission établit et tient à jour une liste des autorités nationales compétentes et des points de contact appropriés.
|
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Art. 58
Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018
I. -Le responsable de traitement notifie à la Commission nationale de l'informatique et des libertés et communique à la personne concernée toute violation de données à caractère personnel en application des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016.
II. -Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du même règlement lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
La dérogation prévue au présent article n'est applicable qu'aux seuls traitements de données à caractère personnel nécessaires au respect d'une obligation légale qui requiert le traitement de ces données ou à l'exercice d'une mission d'intérêt public dont est investi le responsable de traitement.
|
Ancienne loi en France
close
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Art. 34 bis
version initiale
I. - Le présent article s'applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification.
Pour l'application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.
II. - En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés.
(….).
Art. 91-1
Décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.
La notification d'une violation des données à caractère personnel prévue au premier alinéa du II de l'article 34 bis de la loi du 6 janvier 1978 susvisée est adressée à la Commission nationale de l'informatique et des libertés par lettre remise contre signature ou par voie électronique qui précise la nature et les conséquences de la violation des données à caractère personnel, les mesures déjà prises ou proposées par le fournisseur de services de communications électroniques accessibles au public pour y remédier et les personnes auprès desquelles des informations supplémentaires peuvent être obtenues et, lorsque cela est possible, une estimation du nombre de personnes susceptibles d'être impactées par la violation en cause.
Art. 34 bis
Créé par l'ordonnance n°2011-1012 du 24 août 2011
I. - Le présent article s'applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification.
Pour l'application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.
II. - En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés.
Décret d'application.
Art. 91-1
La notification d'une violation des données à caractère personnel prévue au premier alinéa du II de l'article 34 bis de la loi du 6 janvier 1978 susvisée est adressée à la Commission nationale de l'informatique et des libertés par lettre remise contre signature ou par voie électronique qui précise la nature et les conséquences de la violation des données à caractère personnel, les mesures déjà prises ou proposées par le fournisseur de services de communications électroniques accessibles au public pour y remédier et les personnes auprès desquelles des informations supplémentaires peuvent être obtenues et, lorsque cela est possible, une estimation du nombre de personnes susceptibles d'être impactées par la violation en cause.
|
Aucune disposition spécifique
|
Ancienne loi en Belgique
close
Art. 114/1. de la loi du 13 juin 2005 relative aux communications électroniques
(…).
§ 3. 1. En cas de violation de données à caractère personnel, l'entreprise fournissant des services de communications électroniques accessibles au public avertit sans délai la Commission de la protection de la vie privée de la violation de données à caractère personnel, qui en avertit sans délai l'Institut
(….).
|