Deutschland [€]
España [€]
France [€]
Ireland [€]
Italia [€]
Nederland [€]
Polska [PLN]
Portugal [€]
United Kingdom [£]
Canada (en) [$]
Canada (fr) [$]
América Latina [$]
Maroc [Dhs]
Sénégal [FCFA]
Tunisie [DT]
Australia [A$]
Singapore [S$]
Asia [US$]
World [$]
Dans quels cas une violation de données à caractère personnel doit-elle être notifiée à l’autorité de contrôle ?
L’article 33(1) du RGPD prévoit l’obligation de notifier à l’autorité de contrôle, les violations de données à caractère personnel (comme les pertes ou destructions accidentelles), lorsqu’elles sont susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques.
Ceci relève d’une appréciation au cas par cas en fonction des catégories de données et de personnes concernées et les finalités du traitement de ces données ou des activités et réglementation spécifiques applicables à l’organisme responsable de leur traitement. Par exemple, l’indisponibilité ou la perte de données sensibles telles que les données concernant la santé peuvent avoir des conséquences importantes pour les personnes concernées. Dès lors, elles font généralement l’objet d’une notification.
L’obligation de notification est mise à la charge du responsable du traitement de données concerné, lequel est défini par l’article 4(7) du RGPD comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (…) »).
Si vous n’êtes pas le responsable du traitement mais que vous agissez en qualité de sous-traitant, c’est à dire sur instruction de votre propre donneur d’ordres, vous devez, conformément à l’article 33.2 du RGPD, l’informer de l’existence de la violation dans les meilleurs délais afin qu’il puisse, s’il l’estime nécessaire, notifier l’autorité de contrôle s’il est responsable du traitement, ou, à défaut, informer le responsable du traitement, afin que ce dernier procède à ladite notification, le cas échéant.
Par ailleurs, suivant le type de services fourni, un sous-traitant peut recevoir de ses clients responsables de traitement, la mission d’effectuer une notification pour leur compte, si ces derniers lui en ont confié la charge dans le cadre de leurs relations contractuelles avec le sous-traitant. Le cas échéant, la responsabilité légale de la notification incombe toujours au responsable du traitement. En tout état de cause, un tel mandat d’effectuer une notification au régulateur compétent n’est pas confié à OVH par ses clients responsables de traitement en application des conditions de service d’OVHcloud.
De même, si vous n’êtes pas le seul responsable de traitement, vous devez informer le(s) co-responsable(s).
La notification de la violation à l’autorité de contrôle doit être effectuée dans les meilleurs délais, et si possible dans les 72 heures au plus tard après en avoir pris connaissance.
Sur le même sujet