Le responsable du traitement annonce dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
L’annonce doit indiquer au moins la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées.
Le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données.
Le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige.
Il peut restreindre l’information de la personne concernée, la différer ou y renoncer, dans les cas suivants:
il existe un motif au sens de l’art. 26, al. 1, let. b, ou 2, let. b, ou un devoir légal de garder le secret qui l’interdit;
l’information est impossible à fournir ou exige des efforts disproportionnés;
l’information de la personne concernée peut être garantie de manière équivalente par une communication publique.
Le PFPDT peut, avec l’accord du responsable du traitement, transmettre l’annonce à l’Office fédéral de la cybersécurité pour que celui-ci analyse l’incident. La communication peut contenir des données personnelles, y compris des données sensibles relatives à des poursuites ou à des sanctions pénales ou administratives visant le responsable du traitement.1
Une annonce fondée sur le présent article ne peut être utilisée dans le cadre d’une procédure pénale contre la personne tenue d’annoncer qu’avec son consentement.
Footnotes
Introduit par le ch. II 2 de la LF du 29 sept. 2023 (Mise en place d’une obligation de signaler les cyberattaques contre les infrastructures critiques), en vigueur depuis le 1eravr. 2025 (RO 2024 257; 2025 168,173;FF 2023 84). ↩
0 commentaries
No commentaries are available for this article yet.