Afin d'aider les responsables de traitement à répondre à ses obligations et à avoir les réactions adaptées selon les situations, le Comité européen de la protection des données (CEPD) a publié des lignes directrices comprenant 18 cas pratiques.
Des obligations prévues par le RGPD
Le RGPD introduit l’obligation d’enregistrer, dans un registre interne, toutes les violations de données personnelles.
Dans certains cas, il prévoit également de notifier la violation à la CNIL et de communiquer la violation aux personnes dont les données personnelles ont été affectées.
Le G29, qui précédait le CEPD avant l’entrée en vigueur du RGPD en 2018, avait déjà produit une orientation générale sur la notification des violations de données en octobre 2017, en analysant les sections pertinentes du RGPD.
Compte tenu de la diversité des situations rencontrées par les responsables de traitement, le CEPD a complété ce premier travail par la présentation de cas pratiques, fondés sur les