Quand la notification de violation de donnees personnelles s'applique et que faire ensuite
Réponse directe
Elle s'applique lorsqu'un incident de securite touche des donnees personnelles et peut creer un risque, une obligation de sous-traitant ou une obligation client. La suite consiste a ouvrir un dossier, attribuer les roles, evaluer le risque et conserver les preuves.
Qui est concerné: Equipes privacy, responsables conformite, produit, juridique, securite et fondateurs SaaS
Que faire maintenant
- Ouvrez un dossier des qu'un incident peut concerner des donnees personnelles.
- Distinguez autorite, personnes concernees, clients et equipes internes.
- Gardez la chronologie, l'analyse, la decision et la remediation dans un meme dossier.
La notification de violation de donnees personnelles doit etre traitee comme un workflow operationnel. Des qu'un incident peut concerner des donnees personnelles, l'equipe doit ouvrir un dossier d'evaluation, confirmer les systemes touches, nommer les responsables et documenter les faits connus et inconnus.
L'article 33 du GDPR exige qu'un responsable du traitement notifie l'autorite competente sans retard injustifie et, si possible, dans les 72 heures apres avoir pris connaissance de la violation, sauf si celle-ci n'est pas susceptible d'engendrer un risque pour les droits et libertes des personnes. Le sous-traitant doit notifier le responsable sans retard injustifie. L'article 34 impose une communication separee aux personnes concernees en cas de risque eleve.
Pour une equipe SaaS, trois questions structurent la reponse: des donnees personnelles sont-elles concernees, existe-t-il un risque ou un risque eleve, et quel role l'entreprise joue-t-elle pour chaque jeu de donnees. Elle peut etre responsable pour les donnees de compte ou marketing et sous-traitant pour les donnees clients.
Le dossier doit inclure la detection, le moment de prise de connaissance, les systemes, categories de donnees, personnes ou enregistrements touches, fournisseurs, mesures de confinement, consequences probables, mesures correctives et decision de notification. Les obligations contractuelles envers les clients doivent figurer dans le meme suivi.
Les audiences sont differentes. Autorite, personnes concernees, clients et equipes internes n'ont pas besoin du meme message. L'analyse du risque pour l'autorite et l'analyse du risque eleve pour les personnes doivent etre separees.
Les erreurs frequentes consistent a attendre une certitude totale, ignorer les roles responsable/sous-traitant, confondre risque et risque eleve, surestimer le chiffrement ou le confinement, et disperser les preuves. La bonne reponse relie incident response, analyse privacy, obligations clients et remediation.
FAQ
Toute violation doit-elle etre notifiee?
Non. Si un risque pour les personnes est improbable, la notification a l'autorite peut ne pas etre requise. Les faits et la decision doivent toutefois etre documentes.
Que faire d'abord?
Ouvrir le dossier, securiser la chronologie, confirmer les donnees et roles, puis attribuer les decisions.
Termes clés dans cet article
Sources primaires
- General Data Protection RegulationEuropean Union · Consulté le 9 mai 2026
- Guidelines 9/2022 on personal data breach notification under GDPREuropean Data Protection Board · Consulté le 9 mai 2026
- Personal data breaches - a guideInformation Commissioner's Office · Consulté le 9 mai 2026
- 72 hours - how to respond to a personal data breachInformation Commissioner's Office · Consulté le 9 mai 2026
Explorer des hubs liés
Articles liés
Termes du glossaire liés
Prêt à sécuriser votre conformité ?
N'attendez pas qu'une violation fasse dérailler votre activité. Obtenez votre rapport complet de conformité en quelques minutes.
Scanner votre site gratuitement