Article 34

Communication à la personne concernée d'une violation de données à caractère personnel

1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

(a)

le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

(b)

le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;

(c)

elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Qu'est-ce que ça veut dire?

L’article 34 du RGPD couvre l’obligation pour les organisations de notifier aux individus les violations de données à caractère personnel susceptibles d’engendrer un risque élevé pour leurs droits et libertés.

L’obligation de notifier une violation de données à la personne concernée survient lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Dans ce cas, les organisations sont tenues d’informer les personnes concernées le plus rapidement possible.

Une violation de données à caractère personnel est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques lorsqu’elle peut avoir des effets négatifs importants sur les individus, tels que la discrimination, l’usurpation d’identité, la perte financière ou l’atteinte à la réputation.

Une notification de violation de données en vertu de l’article 34 du RGPD doit inclure les informations mentionnées à l’article 33. Il s’agit d’informations telles que

  • Une description de la nature de la violation de données à caractère personnel
  • Les catégories et le nombre approximatif de personnes concernées
  • Les conséquences probables de la violation de données à caractère personnel
  • Les actions et les mesures à prendre par l’organisation pour remédier à la violation de données et en atténuer les effets négatifs.

Oui, il existe des exceptions à l’obligation de notification. Une organisation n’est pas tenue d’informer les personnes concernées d’une violation de données à caractère personnel si

  • L’organisation a mis en œuvre des mesures de protection techniques et organisationnelles appropriées, telles que le cryptage, qui rendent les données personnelles inintelligibles pour les personnes non autorisées.
  • L’organisation a pris des mesures pour prévenir le risque élevé pour les droits et libertés des individus.
  • Dans les cas où il serait excessif d’informer directement les personnes, d’autres méthodes peuvent être utilisées pour les informer publiquement.

Formation de sensibilisation

Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.

Discover

About