Type something to search...
to navigateto selectESC to close

Notification de violation de données

Une notification de violation de données est une obligation légale d'informer les autorités de contrôle et, dans certains cas, les personnes concernées lorsque des données à caractère personnel ont été compromises lors d'une faille de sécurité. En vertu du RGPD, les responsables du traitement doivent notifier leur autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation qui présente un risque pour les droits et libertés des personnes, et notifier directement les personnes concernées si la violation présente un risque élevé.

Base juridique

« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. »

— Article 33(1), Règlement (UE) 2016/679 (RGPD)

« Lorsque la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. »

— Article 34(1), Règlement (UE) 2016/679 (RGPD)

Pourquoi c'est important

Les obligations de notification de violation de données affectent toute organisation qui traite des données à caractère personnel dans le cadre de services de publicité politique. Pour les commanditaires, les éditeurs et les fournisseurs de services de publicité politique au titre du Règlement 2024/900, cela signifie que tout accès non autorisé, perte ou altération de données à caractère personnel utilisées pour le ciblage ou la diffusion de publicités doit être rapidement signalé à l'autorité de protection des données compétente.

Le délai de notification de 72 heures est strict et commence au moment où l'organisation prend connaissance de la violation, et non au moment où elle termine son enquête. Les organisations doivent disposer de processus internes pour détecter, enquêter et signaler rapidement les violations. Le défaut de notification peut entraîner des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial en vertu du RGPD.

Pour la publicité politique en particulier, les violations impliquant des données de ciblage, des profils d'électeurs ou des préférences politiques sont particulièrement sensibles. Ces violations peuvent exposer les individus à la manipulation, à la discrimination ou à des préjudices en représailles, ce qui rend la notification en temps utile essentielle pour protéger les processus démocratiques et les droits individuels.

Points clés

  • Les responsables du traitement doivent notifier leur autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation, sauf si la violation est peu susceptible de présenter un risque pour les droits et libertés des personnes
  • Si la violation présente un risque élevé pour les personnes, elles doivent être notifiées directement dans les meilleurs délais
  • Les notifications doivent décrire la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, ainsi que les mesures prises pour y remédier
  • Les sous-traitants doivent notifier les responsables du traitement immédiatement après avoir découvert une violation afin que les responsables du traitement puissent respecter leurs propres délais de notification
  • Les organisations doivent conserver une documentation de toutes les violations, y compris celles qui n'ont pas été signalées, pour démontrer leur conformité
  • Les sanctions pour défaut de notification peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu

Notification de violation de données vs. Avis de transparence

Bien que les deux impliquent des obligations de divulgation, la notification de violation de données et les avis de transparence servent des objectifs différents. Une notification de violation de données est une exigence réactive, déclenchée par un incident lorsque la sécurité des données à caractère personnel est compromise. Elle doit être communiquée aux autorités de contrôle dans les 72 heures et aux personnes concernées lorsqu'un risque élevé existe.

Un avis de transparence (tel que l'information sur la protection de la vie privée requise en vertu des articles 13-14 du RGPD ou l'avis de transparence pour la publicité politique en vertu du Règlement 2024/900) est une obligation proactive et continue d'informer les personnes de la manière dont leurs données sont traitées avant ou au moment de la collecte. Les avis de transparence sont préventifs et informatifs ; les notifications de violation sont correctives et urgentes.

Aspect Notification de violation de données Avis de transparence
Déclencheur Incident de sécurité Collecte/traitement de données
Délai 72 heures (à l'autorité) Avant/lors de la collecte
Public Autorité + personnes concernées Toutes les personnes concernées
Objectif Réponse à incident Transparence continue

Termes connexes

  • Données à caractère personnel
  • Autorité de protection des données
  • Responsable du traitement
  • Sous-traitant
  • Conformité au RGPD
  • Techniques de ciblage
  • Mesures de sécurité
  • Autorité de contrôle
  • Information sur la protection de la vie privée
  • Droits des personnes concernées

Notification de violation de données: Core Facts

Status
Active Definition
Verified
2026-03-07

Related

Oui. En tant que règlement de l'UE, le TTPA est directement applicable dans tous les États membres sans nécessiter de transposition nationale. Les États membres doivent uniquement désigner les autorités compétentes et établir les sanctions.
Les exigences de transparence garantissent que tous les acteurs politiques opèrent selon les mêmes règles. Les électeurs peuvent voir qui dispose de ressources et comment elles sont utilisées, soutenant ainsi une concurrence équitable.
La transparence renforce la confiance en montrant aux électeurs que les acteurs politiques opèrent ouvertement. Le financement caché ou le ciblage érode la confiance dans les processus démocratiques.
En exigeant un étiquetage clair et des informations de transparence accessibles, le TTPA aide les personnes à reconnaître la publicité politique et à comprendre qui tente de les influencer.
La publicité politique comprend tout message payant qui promeut un acteur politique, influence le comportement électoral, affecte le résultat d'élections ou de référendums, ou influence les processus législatifs ou réglementaires. Elle comprend également toute publicité par ou au nom d'un acteur politique.
Non. Le TTPA n'affecte pas les règles nationales relatives au contenu des publicités politiques, au financement des campagnes, aux périodes électorales ou aux interdictions générales de la publicité politique. Il ajoute des exigences de transparence qui s'ajoutent aux législations nationales existantes.
Le nom officiel est le Règlement (UE) 2024/900 du Parlement européen et du Conseil relatif à la transparence et au ciblage de la publicité politique. Il a été publié le 20 mars 2024.
Oui. Le TTPA couvre toute publicité politique, qu'elle soit en ligne ou hors ligne, y compris la presse écrite, les panneaux d'affichage, la télévision, la radio et les canaux numériques. Les règles de ciblage du chapitre III s'appliquent uniquement à la publicité en ligne.