Skip to content

Quels sont les principes fondamentaux du GDPR, et quel est le délai de notification des violations ?

Réponse courte

L'article 5 du GDPR pose sept principes : licéité/loyauté/transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité, et responsabilité. En cas de violation de données personnelles, le responsable du traitement doit notifier l'autorité de contrôle compétente sans retard injustifié et, si possible, dans les 72 heures après en avoir pris connaissance (article 33). Si la violation est susceptible d'engendrer un risque élevé pour les personnes, le responsable doit aussi notifier les personnes concernées sans retard injustifié (article 34).

Le Règlement général sur la protection des données régit la manière dont les organisations traitent les données personnelles des personnes dans l'UE. Les recruteurs posent cette question pour vérifier que vous savez relier les principes juridiques aux obligations opérationnelles — pas seulement réciter des mots à la mode.

Les sept principes (article 5)

Le GDPR s'appuie sur sept principes que chaque activité de traitement doit respecter :

  • Licéité, loyauté, transparence — il vous faut une base légale valide et vous devez être transparent à son sujet.
  • Limitation des finalités — collecter les données pour des finalités déterminées et explicites, pas « au cas où ».
  • Minimisation des données — seulement ce qui est adéquat et pertinent.
  • Exactitude — les garder correctes et à jour.
  • Limitation de la conservation — ne pas les conserver plus longtemps que nécessaire.
  • Intégrité et confidentialité — les protéger par une sécurité appropriée.
  • Responsabilité — être en mesure de démontrer la conformité à tout ce qui précède.

Notification de violation

Une violation de données personnelles est une violation de la sécurité entraînant la destruction, la perte, l'altération accidentelles ou illicites, la divulgation non autorisée de données personnelles ou l'accès non autorisé à celles-ci.

  • Au régulateur (article 33) : le responsable du traitement notifie l'autorité de contrôle compétente sans retard injustifié et, si possible, dans les 72 heures après en avoir pris connaissance. Si la violation est peu susceptible d'engendrer un risque pour les personnes, la notification peut être omise.
  • Aux personnes concernées (article 34) : si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, celles-ci doivent en être informées sans retard injustifié, en termes clairs.

Pourquoi c'est important

Les bonnes réponses relient les principes (surtout la responsabilité) aux preuves : registres de traitement, AIPD, et un plan d'intervention en cas de violation testé. Dire « 72 heures » est le minimum ; expliquer quand le compte à rebours démarre et le seuil de risque élevé pour notifier les personnes est ce qui montre une réelle maîtrise.

Questions de suivi probables

  • Quand le compte à rebours de 72 heures commence-t-il, et que faire si vous n'avez pas encore tous les faits ?
  • Quand êtes-vous dispensé d'informer les personnes concernées au titre de l'article 34 ?
  • Quelle est la différence entre un responsable du traitement et un sous-traitant pour les obligations de notification ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.