Le 6 février 2018, le G29 a adopté ses lignes directrices sur l’obligation de notification des violations de données à caractère personnel prévue aux articles 33 et 34 du RGPD. Le G29 a clarifié la notion de violation de données en distinguant trois catégories de violation : la violation de la confidentialité, celle de l’intégrité et celle de la disponibilité des données. Le G29 a également précisé que la prise de connaissance de la violation par le responsable de traitement, constituant le point de départ du délai pour notifier, devrait être établie dès lors qu’il présente un “degré raisonnable de certitude qu’un incident compromettant les données personnelles a eu lieu”.
Pour lire les lignes directrices du G29 (en anglais)