Le G29 a adopté ses lignes directrices sur l’obligation de notification des violations de données à caractère personnel prévue par les articles 33 et 34 du RGPD.

Dans ce document, le G29 a clarifié la notion de violation de données en distinguant trois types de violation : la violation de la confidentialité, celle de l’intégrité et celle de la disponibilité des données.

Il a également précisé que la prise de connaissance de la violation par le responsable de traitement, constituant le point de départ du délai pour notifier, implique « qu’un responsable du traitement devrait être considéré comme ayant pris «connaissance» lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel ».

Il a aussi analysé le nouveau rôle et les nouvelles obligations du sous-traitant.

Il a en plus indiqué que les sanctions, limitées au seuil de 10 millions d’euros ou 2 % du chiffre d’affaires mondial, peuvent être aggravées si les autorités décident de sanctionner également les manquements aux obligations de sécurité relevées en cas de violation de données.