- L’EDSA exige désormais que les responsables établis en dehors de l’EEE notifient les violations de données à toute autorité de contrôle concernée.
- La désignation d’un représentant de l’UE ne déclenche pas le système de guichet unique ; l’obligation de notification reste à la charge des responsables concernés.
Le Comité européen de la protection des données (CEPD) a publié ses “Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel dans le cadre du GDPR”, dont la date limite est fixée au 28 mars 2023. Version 2 a été publié. Le site Version 1 datait du 10 octobre 2022. Une vue delta des deux versions est disponible ici (PDF).
Les modifications apportées dans la nouvelle version – qui a été précédée d’une écoute publique – ne concernent qu’un seul point, mais un point important. Contrairement à la première version, l’EDSA ne prévoit plus de concentrer la notification des violations de la sécurité par les responsables établis en dehors de l’EEE au lieu du représentant de l’UE. Les entreprises établies en dehors de l’EEE doivent plutôt – si les conditions sont réunies – signaler les violations de la sécurité à l’UE. se déclarer auprès de toutes les autorités de contrôle compétentes, qu’ils aient ou non désigné un représentant de l’UE et où qu’il soit situé.
Le paragraphe reformulé en conséquence est le suivant :
Toutefois, la simple présence d’un représentant dans un État membre ne déclenche pas le système du guichet unique. Pour cette raison, la violation devra être notifiée à chaque autorité de contrôle pour laquelle les personnes concernées résident dans leur État membre.. Cette (ces) notification(s) relèvera(ont) de la responsabilité du contrôleur.