Bonjour Sébastien,
Nous touchons la question de qui doit notifier à quelle autorité les violations de données ?
La première question à se poser est de savoir s'il y a une violation de données personnelles ou non et si cette violation est soumise au RGPD. Ce qui semble être le cas car des données d'européens sont concernées.
En tant qu'entreprise suisse, elle peut être soumise au RGPD et devoir notifier les violations. Elle devra notifier les violations à l'autorité de contrôle dont elle dépend. Si elle n'a pas d'établissement dans l'UE, elle devra désigner un représentant au sein de l'UE (par exemple en France) qui pourra se charger de la notification auprès de l'autorité de son territoire (par exemple la CNIL).
Si elle a un établissement dans l'UE, l'autorité sera celle du ressort de l'établissement en question.
Voir les lignes directrices de l'EDPB sur les violations de données :
Lorsqu’un responsable du traitement qui n’est pas établi dans l’UE est soumis à l’article 3, paragraphe 2, ou à l’article 3, paragraphe 3, et constate une violation, il est par conséquent toujours tenu de respecter les obligations de notification définies aux articles 33 et 34. L’article 27 dispose qu’un responsable du traitement (ou un sous-traitant) doit désigner un représentant dans l’UE lorsque l’article 3, paragraphe 2, s’applique. Dans de tels cas, le G29 recommande que la notification soit adressée à l’autorité de contrôle de l’État membre dans lequel le représentant du responsable du traitement dans l’UE est établi33. De la même façon, lorsqu’un sous-traitant est soumis à l’article 3, paragraphe 2, il sera tenu de respecter les obligations incombant aux sous-traitants, et notamment l’obligation de notifier la violation au responsable du traitement conformément à l’article 33, paragraphe 2.
