Article 34 du RGPD
Communication à la personne concernée d'une violation de données à caractère personnel

Chapitre 4 - Responsable du traitement et sous-traitant
Communication à la personne concernée d'une violation de données à caractère personnel

Ce que dit l'Article 34 du RGPD

1.  Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2.  La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d).

3.  La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

4.  Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

Que doit-on comprendre de l'Article 34 du RGPD ?

Des exemples de sanctions dans le cadre de l'Article 34 du RGPD

4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
500000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Brico Privé
245000
Autorité polonaise de protection des données (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Cyfrowy Polsat Sa
180000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Slimpay
117000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Santander Bank Polska Sa
78000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Banque Millénium Sa
65000
Commissaire à la protection des données de Malte
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
C-planet (it Solutions) Limited
55400
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Robinson Tours Ltd. (robinson Tours Idegenforgalmi És Szolgáltató Kft.)
35300
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Sopockie Towarzystwo Ubezpieczeń Ergo Hestia Sa
34375
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Parti Politique Hongrois
25000
Autorité belge de protection des données (APD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Inconnu
20000
Autorité de protection des données de Hambourg
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Inconnu
20000
Autorité de protection des données de Hambourg
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Hamburger Verkehrsverbund Gmbh (hvv Gmbh)
19000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Inconnu
18930
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Towarzystwo Ubezpieczeń I Reasekuracji Warta Sa
18850
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Tuir Warta Sa
18700
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Centre National De Services Gouvernementaux (ngsc)
6700
Autorité danoise de protection des données (Datatilsynet)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Commune De Lejre
5500
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Śląski Uniwersytet Medyczny (université Médicale De Silésie)
3000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification de violation de données
En cause :
Fundację Promocji Mediacji I Edukacji Prawnej Lex Nostra

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?