Plus
Navigation
CHAPITRE I Dispositions générales (1-4)
Article premier. Objet et objectifsArticle 2. Champ d'application matérielArticle 3. Champ d'application territorialArticle 4. Définitions
CHAPITRE II Principes (5-11)
Article 5. Principes relatifs au traitement des données à caractère personnelArticle 6. Licéité du traitementArticle 7. Conditions applicables au consentementArticle 8. Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'informationArticle 9. Traitement portant sur des catégories particulières de données à caractère personnelArticle 10. Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractionsArticle 11. Traitement ne nécessitant pas l'identification
CHAPITRE III Droits de la personne concernée (12-23)
Article 12. Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernéeArticle 13. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernéeArticle 14. Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernéeArticle 15. Droit d'accès de la personne concernéeArticle 16. Droit de rectificationArticle 17. Droit à l'effacement («droit à l'oubli»)Article 18. Droit à la limitation du traitementArticle 19. Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitementArticle 20. Droit à la portabilité des donnéesArticle 21. Droit d'oppositionArticle 22. Décision individuelle automatisée, y compris le profilageArticle 23. Limitations
CHAPITRE IV Responsable du traitement et sous-traitant (24-43)
Article 24. Objet et objectifsArticle 25. Protection des données dès la conception et protection des données par défautArticle 26. Responsables conjoints du traitementArticle 27. Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'UnionArticle 28. Sous-traitantArticle 29. Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitantArticle 30. Registre des activités de traitementArticle 31. Coopération avec l'autorité de contrôleArticle 32. Sécurité du traitementArticle 33. Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Article 34. Communication à la personne concernée d'une violation de données à caractère personnel
Article 35. Analyse d'impact relative à la protection des donnéesArticle 36. Consultation préalableArticle 37. Désignation du délégué à la protection des donnéesArticle 38. Fonction du délégué à la protection des donnéesArticle 39. Missions du délégué à la protection des donnéesArticle 40. Codes de conduiteArticle 41. Suivi des codes de conduite approuvésArticle 42. CertificationArticle 43. Organismes de certification
CHAPITRE V Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales (44-50)
Article 44. Principe général applicable aux transfertsArticle 45. Transferts fondés sur une décision d'adéquationArticle 46. Transferts moyennant des garanties appropriéesArticle 47. Règles d'entreprise contraignantesArticle 48. Transferts ou divulgations non autorisés par le droit de l'UnionArticle 49. Dérogations pour des situations particulièresArticle 50. Coopération internationale dans le domaine de la protection des données à caractère personnel
CHAPITRE VI Autorités de contrôle indépendantes (51-59)
Article 51. Autorité de contrôleArticle 52. IndépendanceArticle 53. Conditions générales applicables aux membres de l'autorité de contrôleArticle 54. Règles relatives à l'établissement de l'autorité de contrôleArticle 55. CompétenceArticle 56. Compétence de l'autorité de contrôle chef de fileArticle 57. MissionsArticle 58. PouvoirsArticle 59. Rapports d'activité
CHAPITRE VII Coopération et cohérence (60-70)
Article 60. Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernéesArticle 61. Assistance mutuelleArticle 62. Opérations conjointes des autorités de contrôleArticle 63. Mécanisme de contrôle de la cohérenceArticle 64. Avis du comitéArticle 65. Règlement des litiges par le comitéArticle 66. Procédure d'urgenceArticle 67. Échange d'informationsArticle 68. Comité européen de la protection des donnéesArticle 69. IndépendanceArticle 70. Missions du comitéArticle 71. RapportsArticle 72. ProcédureArticle 73. PrésidentArticle 74. Missions du présidentArticle 75. SecrétariatArticle 76. Confidentialité
CHAPITRE VIII Voies de recours, responsabilité et sanctions (77-84)
Article 77. Droit d'introduire une réclamation auprès d'une autorité de contrôleArticle 78. Droit à un recours juridictionnel effectif contre une autorité de contrôleArticle 79. Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitantArticle 80. Représentation des personnes concernéesArticle 81. Suspension d'une actionArticle 82. Droit à réparation et responsabilitéArticle 83. Conditions générales pour imposer des amendes administrativesArticle 84. Sanctions
CHAPITRE IX Dispositions relatives à des situations particulières de traitement (85-91)
Article 85. Traitement et liberté d'expression et d'informationArticle 86. Traitement et accès du public aux documents officielsArticle 87. Traitement du numéro d'identification nationalArticle 88. Traitement de données dans le cadre des relations de travailArticle 89. Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiquesArticle 90. Obligations de secretArticle 91. Règles existantes des églises et associations religieuses en matière de protection des données
CHAPITRE X Actes délégués et actes d'exécution (92-93)
Article 92. Exercice de la délégationArticle 93. Comité
CHAPITRE XI Dispositions finales (94-95)
Article 94. Abrogation de la directive 95/46/CEArticle 95. Relation avec la directive 2002/58/CEArticle 96. Relation avec les accords conclus antérieurementArticle 97. Rapports de la CommissionArticle 98. Réexamen d'autres actes juridiques de l'Union relatifs à la protection des donnéesArticle 99. Entrée en vigueur et application
RGPD > Article 34. Communication à la personne concernée d'une violation de données à caractère personnel
Télécharger le PDF

Article 34 RGPD. Communication à la personne concernée d'une violation de données à caractère personnel

1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).

Connexe
Connexe

3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Règlement général sur la protection des données (RGPD)

Dernière version consolidée (Rectificatif, JO L 127 du 23.5.2018, p. 2 (2016/679)). EUR-Lex – 02016R0679-20160504 – FR

ISO 27701 Considérants Lignes directrices & Jurisprudence Laisser un commentaire
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.

[…]


lire le texte complet

Considérants

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

(86) Le responsable du traitement devrait communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent. La communication devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. Il convient que de telles communications aux personnes concernées soient effectuées aussi rapidement qu'il est raisonnablement possible et en coopération étroite avec l'autorité de contrôle, dans le respect des directives données par celle-ci ou par d'autres autorités compétentes, telles que les autorités répressives. Par exemple, la nécessité d'atténuer un risque immédiat de dommage pourrait justifier d'adresser rapidement une communication aux personnes concernées, alors que la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données à caractère personnel ou la survenance de violations similaires peut justifier un délai plus long pour la communication.

(87) Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

(88) Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de cette violation, y compris du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées, limitant efficacement la probabilité d'usurpation d'identité ou d'autres formes d'abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation des données à caractère personnel.

Lignes directrices & Jurisprudence Laisser un commentaire
[js-disqus]