Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Règlement général sur la protection des données · UE 2016/679
Notification à l'autorité de contrôle d'une violation de données à caractère personnel
1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
3. La notification visée au paragraphe 1 doit, à tout le moins:
| a) | décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; |
| b) | communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; |
| c) | décrire les conséquences probables de la violation de données à caractère personnel; |
| d) | décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. |
4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.
Au Luxembourg, l'autorité compétente pour recevoir la notification de l'article 33 est la CNPD (Commission nationale pour la protection des données), via son guichet de notification en ligne dédié. La loi du 1er aoét 2018 portant organisation de la CNPD encadre ses pouvoirs de contréle et de sanction; le délai de 72 heures et les rubriques obligatoires restent ceux du réglement UE, sans dérogation nationale.
Pratique Luxgap : préconfigurez le connecteur Breach Clock vers le formulaire de notification CNPD et désignez en amont le point de contact (DPO ou suppléant) qui figurera dans chaque notification, pour éviter toute hésitation pendant le décompte.