Notification des violations de données par les entreprises non européennes soumises au RGPD
Article
Notification des violations de données par les entreprises non européennes soumises au RGPD :
une approche actualisée du Conseil européen de la protection des données (EDPB)
16 Février 2023
En octobre 2022, l’EDPB a lancé une consultation publique sur la mise à jour ciblée du paragraphe 73 des Lignes directrices 9/2022 sur la notification des violations de données personnelles en vertu du RGPD.
À l’instar des principes énoncés dans les lignes directrices du groupe de travail 250 sur la notification des violations de données personnelles en vertu du règlement 2016/679 (révisées en 2018), l’EDPB n’a introduit qu’une mise à jour majeure des règles de notification des violations de données applicables aux entreprises non européennes soumises au RGPD.
Notification des violations de données pour les entreprises de l’UE
En ce qui concerne la notification d’une violation de données par un contrôleur ou un sous-traitant établi dans l’UE, le CEPD n’a apporté aucun changement (par rapport à la situation précédente).
Le principe de vente unique reste applicable. Par conséquent, lorsque la violation de données concerne des personnes concernées dans plusieurs États membres, elle ne doit être notifiée qu’à une seule autorité de protection des données, appelée autorité de contrôle principale. L’autorité de contrôle chef de file sera dans l’État membre où le responsable du traitement a son entité principale.
Notification des violations de données pour les entreprises non européennes
Avant cette mise à jour, un contrôleur non européen soumis au RGPD pouvait notifier la violation de données à l’autorité de protection des données de l’État membre où était établi son représentant chargé de la protection des données. Cette règle n’est plus applicable.
Désormais, la notification doit être faite à chacune des autorités de protection des données concernées. En d’autres termes, lorsque la violation de données affecte des personnes concernées de 10 États membres, le responsable du traitement devra préparer et soumettre 10 formulaires de notification différents dans un délai de 72 heures, tout en atténuant les effets de l’incident et en poursuivant son enquête.
Pour Conclure
La ligne directrice de l’EDPB devient applicable dès sa publication, même si la consultation publique a lieu en parallèle. Ainsi, depuis octobre dernier, les responsables du traitement non établis dans l’UE (qu’ils aient ou non un représentant dans l’UE) doivent signaler les violations de données à toutes les autorités de protection des données concernées.
Il reste à voir dans la pratique si ce changement sera réellement efficace car, au-delà de la charge administrative supplémentaire pour les responsables du traitement, il consommera également des ressources précieuses au sein des autorités de protection des données elles-mêmes…
Charline Baeskens-Charlier
