Doctrine
Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Article 33 du RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel


Version en vigueur
Entrée en vigueur : 24 mai 2016

1.   En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2.   Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3.   La notification visée au paragraphe 1 doit, à tout le moins:

a)

décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;

b)

communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c)

décrire les conséquences probables de la violation de données à caractère personnel;

d)

décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4.   Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5.   Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

Décisions23

Afficher tout (23)
1CNIL, Délibération du 9 mai 2019, n° 2019-055

[…] 33. Le terme de décision devrait être préféré à la formule décision de sanction à l'article 42 du projet de décret, afin d'inclure l'ensemble des décisions que peut adopter la formation restreinte de la Commission, et notamment les mesures correctrices ne constituant pas des sanctions au sens strict du terme ainsi que les décisions de cette formation ne prononçant ni mesure correctrice ni sanction.

 Lire la suite…
  • Commission·
  • Décret·
  • Formation restreinte·
  • Directive·
  • Responsable du traitement·
  • Traitement de données·
  • Informatique et libertés·
  • Formation·
  • Avis·
  • Règlement
2CNIL, Délibération du 20 juillet 2023, n° 2023-083

[…] Tout incident de sécurité, d'origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence, même temporaire, de compromettre l'intégrité, la confidentialité ou la disponibilité de données à caractère personnel, doit faire l'objet d'une documentation en interne dans un registre des violations. SEC-INC-3 Toute violation de données doit être notifiée à la CNIL dans les conditions prévues à l'article 33 du RGPD. SEC-INC-4 Dans l'hypothèse où la violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable de traitement est tenu de communiquer la violation des données aux personnes concernées dans les meilleurs délais, conformément à l'article 34 du RGPD.

 Lire la suite…
  • Méthodologie·
  • Laboratoire de recherche·
  • Responsable·
  • Traitement de données·
  • Données de santé·
  • Cnil·
  • Environnement·
  • Personne concernée·
  • Utilisateur·
  • Personnes
3CADA, Avis du 22 juillet 2021, Commission nationale de l'informatique et des libertés (CNIL), n° 20214072

[…] En l'absence de réponse exprimée par la présidente de la CNIL à la date de sa séance, la Commission rappelle qu'en application des dispositions de l'article 33 du RGPD : « 1. […]

 Lire la suite…
  • Institutions - aai·
  • Politique générale·
  • Vie publique·
  • Infractions·
  • Données·
  • Violation·
  • Document·
  • Responsable du traitement·
  • Cnil·
  • Caractère
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion
Afficher tout (23)

Commentaires114

Afficher tout (114)
www.escaramozzino.legal · 20 novembre 2023

[…] droit de l'utilisateur de partager des données avec des tiers. L'article 6 définit les obligations des tiers recevant des données à la demande de l'utilisateur. […] L'article 7 traite du champ d'application des obligations en matière de partage de données entre consommateurs et entreprises et entre entreprises. […] L'article 13 précise les situations dans lesquelles une clause peut être qualifiée d'abusive pour objet ou pour effet. […] La Commission est habilitée à adopter des actes délégués afin de compléter le règlement en précisant davantage les exigences essentielles prévues à l'article 33

 Lire la suite…
Haas Avocats · Haas avocats · 30 octobre 2023

[…] De modification non désirée des données. […] La CNIL a valablement considéré que cet accès illégitime constitue inéluctablement une violation de données devant lui être notifiée dans les conditions prévues à l'article 33 du RGPD.

 Lire la suite…
Village Justice · 17 octobre 2023

[…] De plus, le RGPD impose désormais des obligations de notification à la CNIL en cas de violation de la protection des données, conformément aux articles 33 et 34. Le DPO peut être appelé à documenter ces notifications et à les initier.

 Lire la suite…
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion
Afficher tout (114)

Doctrine / Droit de l'Union Européenne / Règlements / 2016 / Règlement RGPD n°2016/679

  1. Doctrine
  2. Droit de l'Union Européenne
  3. Règlements
  4. 2016
  5. Règlement RGPD n°2016/679
Contactez notre service commercial au 01 84 80 33 48