menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : Belgique) language
Contactez notre membre local en Belgique mail_outline
Visitez le site web de Ulys account_balance

arrow_backArticle précédent
Article 33
Article suivantarrow_forward

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

Textes
Officiels Guidelines
& Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 33 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 33 keyboard_arrow_up

Articles liés à l'article 33

Mots clés liés à l'article 33

Afficher les considérants du Règlement liés à l'article 33 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 33 keyboard_arrow_up

(85) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

(86) Le responsable du traitement devrait communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s’imposent. La communication devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. Il convient que de telles communications aux personnes concernées soient effectuées aussi rapidement qu'il est raisonnablement possible et en coopération étroite avec l'autorité de contrôle, dans le respect des directives données par celle-ci ou par d'autres autorités compétentes, telles que les autorités répressives. Par exemple, la nécessité d'atténuer un risque immédiat de dommage pourrait justifier d'adresser rapidement une communication aux personnes concernées, alors que la nécessité de mettre en oeuvre des mesures appropriées empêchant la poursuite de la violation des données à caractère personnel ou la survenance de violations similaires peut justifier un délai plus long pour la communication.

(87) Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en oeuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

(88) Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de cette violation, y compris du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées, limitant efficacement la probabilité d'usurpation d'identité ou d'autres formes d'abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation des données à caractère personnel.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 33.

Le GDPR

L’article 33 du Règlement généralise le devoir de notification des violations de données (« data breaches ») à l’autorité de contrôle tout en le précisant.

En vertu de l’article 33, paragraphe 1er, toute violation de données à caractère personnel, telle que défini par l’article 4 (12) du Règlement, c’est-à-dire « une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière ») doit en principe être notifié à l’autorité de contrôle..

Dans la seconde proposition de Règlement, seules les violations de données susceptibles d'exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés étaient visées par l’obligation de notification à l’autorité de contrôle. Des exemples étaient contenus dans l’article 33, paragraphe 1er : une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important.

Dans sa dernière version, la règle est inversée : toute violation de donnée doit faire l’objet d’une notification sauf si la violation ne paraît pas faire courir de risque aux droits et libertés individuelles des personnes concernées. 

Le Règlement fixe également les délais de notification à partir de la prise de connaissance de la violation par le responsable. La notification doit se faire sans retard injustifié et, si possible, 72h au plus tard après en avoir pris connaissance. Lorsqu'elle est effectuée passé ce délai de 72h, la notification doit en outre comporter une motivation.

Le sous-traitant doit quant à lui informer le responsable de toute violation de données sans retard injustifié après en avoir pris connaissance.

Le contenu minimal de la notification –dont une partie peut être différée (sans retard indu cfr. art. 33 § 4)- est également prévu par la disposition :

-description de la violation des données en ce compris si possible les catégories et le nombre approximatif de personnes concernées ainsi que le nombre approximatif d’enregistrements de données concernés (art. 33, § 3, a)) ;

-coordonnées de contact du délégué à la protection des données ou d’un autre point de contact (article 33, § 3, b)) ;

-description des conséquences probables de la violation (article 33, § 3, c)) ;

-description des mesures prises pour remédier à la violation de données ou en atténuer les effets négatifs (article 33, § 3, d)) ;

Enfin, le responsable doit conserver une trace documentée de chaque violation indiquant son contexte, ses effets et les mesures prises pour y remédier. Cette documentation permettra à l’autorité de contrôle de vérifier le respect de l’article 33.

La Directive

La Directive ne prévoyait pas d’obligation de notification en cas d’une violation des données à caractère personnel. Par contre, un mécanisme de notification avait été mis en place par la Directive 2002/58/CE sur la vie privée et les communications électroniques et coulé dans le Règlement n°611/2013 concernant les mesures relatives à la notification des violations de données à caractère personnel.

Belgique

Le droit belge a implémenté le système de notification d’une violation des données à caractère personnel en matière de communication électronique, à l’article 114/1 de la loi du 13 juin 2005 relative aux communications électroniques.

Difficultés probables ?

Dès lors que toute violation de donnée ne donne pas lieu à notification se pose nécessairement la question de l’appréciation de l’absence probable de risque pour la violation des droits et libertés des personnes concernées. Appréciation délicate en pratique qui, au vu des sanctions potentielles (cfr. art. 83), devrait amener les responsables au maintien d’un équilibre délicat entre la peur de la sanction et la crainte du préjudice à son image qui risque de résulter de la notification de la violation aux autorités (et, le cas échéant, aux personnes concernées – cfr article 34).

arrow_back Article précédentArticle 33Article suivant arrow_forward
arrow_back Article précédentArticle 33 Article suivant arrow_forward

Groupe 29

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (ci-après le «RGPD») introduit l’exigence que toute violation de données à caractère personnel (ci-après la «violation») soit notifiée à l’autorité de contrôle nationale compétente (ou en cas de violation transfrontalière, à l’autorité chef de file) et, dans certains cas, communiquée aux personnes dont les données à caractère personnel ont été affectées par ladite violation.

L’obligation de notifier les violations existe déjà à l’heure actuelle pour certaines organisations, telles que les fournisseurs de services de communications électroniques accessibles au public [comme prévu par la directive 2009/136/CE et le règlement (CE) nº 611/2013]. Certains États membres disposent par ailleurs déjà de leur propre obligation de notification des violations. Il peut s’agir de l’obligation de notifier les violations impliquant certaines catégories de responsables du traitement autres que les fournisseurs de services de communications électroniques accessibles au public (par exemple, en Allemagne et en Italie), ou de l’obligation de notifier toutes les violations portant sur des données à caractère personnel (par exemple, aux Pays-Bas). D’autres États membres peuvent disposer de codes de bonne pratique pertinents (par exemple, en Irlande). Cependant, si un certain nombre d’autorités européennes chargées de la protection des données encouragent actuellement les responsables du traitement à notifier les violations, la directive 95/46/CE sur la protection des données, que le RGPD remplace, ne contient pas d’obligation spécifique à cet égard. Une telle exigence sera donc nouvelle pour de nombreuses organisations. Le RGPD rend en effet cette notification obligatoire pour tous les responsables du traitement à moins qu’une violation soit peu susceptible d’engendrer un risque pour les droits et libertés des individus. Les sous-traitants ont également un rôle important à jouer et doivent notifier toute violation au responsable du traitement.

Le groupe de travail «Article 29» (G29) considère que cette nouvelle exigence de notification présente plusieurs avantages. Lors de la notification à l’autorité de contrôle, les responsables du traitement peuvent notamment obtenir des conseils afin de savoir s’il convient d’informer les personnes concernées. En effet, l’autorité de contrôle peut ordonner au responsable du traitement d’informer lesdites personnes de la violation7. D’un autre côté, la communication d’une violation aux personnes concernées permet au responsable du traitement de leur fournir des informations sur les risques résultant de la violation et sur les mesures qu’elles peuvent prendre afin de se protéger des conséquences potentielles. Tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue comme un outil permettant de renforcer la conformité en matière de protection des données à caractère personnel. Parallèlement, il convient de noter que la non-communication d’une violation aux personnes concernées ou à l’autorité de contrôle pourrait entraîner une sanction pour le responsable du traitement en vertu de l’article 83.

Les responsables du traitement et les sous-traitants sont ainsi encouragés à prévoir à l’avance et à mettre en place des processus leur permettant de détecter et d’endiguer rapidement toute violation, d’évaluer les risques pour les personnes concernées et de déterminer ensuite s’il est nécessaire d’informer l’autorité de contrôle compétente et de communiquer, si nécessaire, la violation aux personnes concernées. La notification à l’autorité de contrôle devrait faire partie intégrante de ce plan de réaction aux incidents.

Le RGPD contient des dispositions concernant les cas où une violation doit être notifiée, les personnes et entités auxquelles il convient de la notifier ainsi que les informations que devrait comprendre cette notification. Les informations requises pour une telle notification peuvent certes être communiquées de façon échelonnée, mais les responsables du traitement devraient réagir à toute violation dans des délais appropriés.

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel9, le G29 a fourni des orientations aux responsables du traitement afin de les aider à décider s’il convient d’informer les personnes concernées en cas de violation. L’avis portait sur l’obligation imposée aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE, fournissait des exemples tirés de nombreux secteurs, dans le contexte du RGPD, encore à l’état de projet à l’époque, et présentait une série de bonnes pratiques à l’intention de tous les responsables du traitement.

Les présentes lignes directrices expliquent les obligations établies par le RGPD en matière de notification et de communication des violations ainsi que certaines des mesures que les responsables du traitement et les sous-traitants peuvent adopter en vue de respecter ces nouvelles obligations. Elles fournissent également des exemples de différents types de violations et des entités et personnes à informer dans différents cas de figure.

Lien

arrow_back Article précédentArticle 33 Article suivant arrow_forward
Règlement
1e 2e

Art. 33

1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation a insi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

 

 

 
Proposition 1 close

1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard.

2. En vertu de l’article 26, paragraphe 2, point f), le sous-traitant alerte et informe le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés;

b) communiquer l’identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;

d) décrire les conséquences de la violation de données à caractère personnel;

e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel.

4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à l’établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.

6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire type et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
Proposition 2 close

1. En cas de violation de données à caractère personnel susceptible d'exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés, par exemple une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel ou tout autre dommage économique ou social important, le responsable du traitement en adresse notification à l'autorité de contrôle compétente conformément à l'article 51, sans retard injustifié et, si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 72 heures, la notification comporte une motivation.

1 bis. La notification visée au paragraphe 1 n'est pas requise si une communication à la personne concernée n'est pas nécessaire aux termes de l'article 32, paragraphe 3, points a) et b).

2. (…) Le sous-traitant informe le responsable du traitement de la violation de données à caractère personnel sans retard injustifié après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible et s'il y a lieu, les catégories et le nombre approximatifs de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données concernés;

b) communiquer l'identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

 c) (…)

d) décrire les conséquences probables de la violation de données à caractère personnel constatée par le responsable du traitement;

e) décrire les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données à caractère personnel;

 et f) le cas échéant, indiquer des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel.

3 bis. Si et dans la mesure où il n'est pas possible de fournir les informations visées au paragraphe 3, points d), e) et f), en même temps que les informations visées au paragraphe 3, points a) et b), le responsable du traitement fournit ces informations sans autre retard justifié.

4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel visée aux paragraphes 1 et 2, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. (…)

5. (…)

6. (…)
Directive close

Règlement (UE) No 611/2013 de la commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques

Art. 2

Notification à l’autorité nationale compétente

1.   Le fournisseur notifie toutes les violations de données à caractère personnel à l’autorité nationale compétente.

2.   Le fournisseur notifie la violation de données à caractère personnel à l’autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation, si possible.

Le fournisseur fournit les informations visées à l’annexe I dans sa notification à l’autorité nationale compétente.

Le constat d’une violation de données à caractère personnel est considéré comme établi dès lors que le fournisseur dispose d’assez d’éléments indiquant qu’il s’est produit un incident de sécurité ayant compromis des données à caractère personnel pour justifier une notification conformément au présent règlement.

3.   Si les informations visées à l’annexe I ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie, le fournisseur est autorisé à transmettre une notification initiale à l’autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation. Cette notification initiale comprend les informations visées à la partie 1 de l’annexe I. Le fournisseur transmet une seconde notification à l’autorité nationale compétente le plus rapidement possible et au plus tard trois jours après la notification initiale. Cette seconde notification comprend les informations visées à la partie 2 de l’annexe I et, si nécessaire, actualise les informations déjà fournies.

Si le fournisseur, malgré ses recherches, n’est pas en mesure de fournir toutes les informations dans le délai de trois jours à compter de la notification initiale, il notifie toutes les informations qu’il a recueillies dans ce délai et présente à l’autorité nationale compétente une justification valable de la notification tardive des informations restantes. Le fournisseur notifie dès que possible les informations restantes à l’autorité nationale compétente et, si nécessaire, actualise les informations déjà fournies.

4.   L’autorité nationale compétente met à la disposition de tous les fournisseurs établis dans l’État membre concerné un moyen électronique sécurisé de notification des violations de données à caractère personnel ainsi que des informations sur les procédures pour y accéder et l’utiliser. Si nécessaire, la Commission organise des réunions avec les autorités nationales compétentes pour faciliter l’application de cette disposition.

5.   Si la violation de données à caractère personnel porte atteinte à des abonnés ou des particuliers d’États membres autres que celui de l’autorité nationale compétente à laquelle la violation a été notifiée, ladite autorité informe les autres autorités nationales concernées.

Pour faciliter l’application de cette disposition, la Commission établit et tient à jour une liste des autorités nationales compétentes et des points de contact appropriés.
Belgique
compare_arrows
visibility Ancienne loi

Aucune disposition spécifique
Ancienne loi close

Art. 114/1. de la loi du 13 juin 2005 relative aux communications électroniques

(…).

§ 3. 1. En cas de violation de données à caractère personnel, l'entreprise fournissant des services de communications électroniques accessibles au public avertit sans délai la Commission de la protection de la vie privée de la violation de données à caractère personnel, qui en avertit sans délai l'Institut

(….).
arrow_back Article précédentArticle 33 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.