Réponse GRC
Quelle est la règle de notification des violations de données en 72 heures au titre du RGPD ?
Réponse directe
En vertu de l’article 33 du RGPD, le responsable de traitement doit notifier la violation de données personnelles à l’autorité de contrôle compétente — en France, la CNIL — dans les meilleurs délais et, si possible, dans les 72 heures après en avoir pris connaissance, sauf si la violation est peu susceptible d’engendrer un risque pour les personnes. Lorsque la violation est susceptible d’engendrer un risque élevé, le responsable doit également informer les personnes concernées en vertu de l’article 34. Le délai court à partir de la prise de connaissance, et non de la fin de l’investigation ; l’article 33(4) autorise une notification par étapes au fur et à mesure que les faits se précisent. Toute violation doit être documentée en vertu de l’article 33(5), qu’elle atteigne ou non le seuil de notification.
Questions connexes
- Quel est le délai de réponse à une demande d’accès aux données personnelles ? →
- Qu’est-ce que le Registre des Activités de Traitement (RAT) ? →
- Qu’est-ce qu’un Accord de traitement des données (ATD) ? →
- Quand une AIPD est-elle obligatoire au titre du RGPD ? →
- Qu’est-ce qu’une Analyse d’impact sur le transfert (AIT) ? →