RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel

Version en vigueur

Entrée en vigueur :	24 mai 2016

1. Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b)	le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c)	elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

4. Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

Décisions • 38

Afficher tout (38)

1. CNIL, Délibération du 7 juillet 2022, n° SAN-2022-015

→ Conseil d'État : Rejet

[…] 87. L'article 12.1 du Règlement dispose que " le responsable de traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. […] "

Formation restreinte·
Géolocalisation·
Véhicule·
Utilisateur·
Sociétés·
Finalité·
Collecte de données·
Durée de conservation·
Location·
Traitement

2. CJUE, n° C-579/21, Conclusions de l'avocat général de la Cour, Procédure engagée par J.M, 15 décembre 2022

[…] En vertu de l'article 34, premier alinéa, de la loi relative à la protection des données, la personne concernée ne dispose pas du droit visé à l'article 15 du RGPD de consulter les données collectées à son sujet lorsque :

Rapprochement des législations·
Protection des données·
Responsable du traitement·
Personne concernée·
Personnel·
Caractère·
Information·
Traitement de données·
Salarié·
Autorité de contrôle

3. CNIL, Délibération du 9 mai 2019, n° 2019-055

[…] 34. L'article 39 du projet de décret devrait par ailleurs être corrigé d'une erreur matérielle au cinquième alinéa, qui renvoie uniquement aux délais prévus aux deuxième et troisième alinéas, excluant ainsi la prolongation des délais nouvellement prévue au quatrième alinéa. Par suite, les articles 45 et 57 du projet de décret, qui renvoient à l'ensemble de ces délais, devraient également être modifiés sur ce point.

Commission·
Décret·
Formation restreinte·
Directive·
Responsable du traitement·
Traitement de données·
Informatique et libertés·
Formation·
Avis·
Règlement

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (38)

Commentaires • 76

Afficher tout (76)

1. Les missions du Délégué à la Protection des Données (DPO).

Village Justice · 17 octobre 2023

[…] De plus, le RGPD impose désormais des obligations de notification à la CNIL en cas de violation de la protection des données, conformément aux articles 33 et 34. Le DPO peut être appelé à documenter ces notifications et à les initier.

2. Voyance et sanction Cnil : une amende de 150 000 euros infligée à une société de voyance en ligne et par téléphone

www.agilit.law · 26 juin 2023

[…] L'article 12, paragraphe 1 du RGPD dispose que « le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destin […]

3. Formation Cybercriminalité : Quelles mesures juridiques mettre en place ?

www.alain-bensoussan.law · 29 mai 2023

[…] La sécurisation des systèmes d'information contre les risques externes La sécurisation des systèmes d'information contre les risques internes La communication aux personnes concernées par la violation de données conforme aux articles […] 33 et 34 du RGPD La cyberassurance La notion de cyber risque

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (76)

Doctrine / Droit de l'Union Européenne / Règlements / 2016 / Règlement RGPD n°2016/679