L’article 33 impose aux responsables du traitement de notifier à l’autorité de contrôle toute violation de données personnelles, dans un délai maximum de 72 heures après en avoir pris connaissance, sauf si cette violation n’est pas susceptible d’engendrer un risque pour les personnes concernées.
>
Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Et concrètement, ça veut dire quoi ?
En cas de fuite, d’accès non autorisé, de perte de données, etc. l’organisme doit prévenir rapidement l’autorité compétente (la CNIL), décrire la nature de la violation de données, les personnes concernées, les données impliquées, les conséquences probables de la violation de données ainsi que les mesures prises par l'organisme pour remédier à la violation de données. Cet article impose également aux organismes de tenir un registre ou une documentation des violations de données.
Savez-vous comment réagir en cas de piratage ?