Tous les organismes qui traitent des données personnelles doivent mettre en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d'incident. Les obligations prévues par le RGPD visent à éviter qu’une violation cause des dommages ou des préjudices aux organismes comme aux personnes concernées.

Les nouvelles obligations concernant les violations de données sont prévues par les articles 33 et 34 du RGPD. Elles précisent l’obligation générale de sécurité que doivent respecter les organismes qui traitent des données à caractère personnel.

Au titre de ce principe essentiel, ces organismes doivent mettre en place des mesures visant à :

prévenir toute violation de données
réagir de manière appropriée en cas de violation, c'est-à-dire mettre fin à la violation et minimiser ses effets.

Ces dispositions visent à préserver à la fois :

les responsables du traitement : afin de protéger leur patrimoine informationnel, en leur permettant notamment de sécuriser leurs données ;
les personnes affectées par la violation : afin d'éviter qu'elle ne leur cause des dommages ou préjudices, en leur permettant notamment de prendre les précautions qui s’imposent en cas d'incident. 

Il est dès lors recommandé que les organismes qui traitent des données personnelles (responsable du traitement ou sous-traitant) prévoient et mettent en place des procédures globales en matière de violation de données personnelles. Ces procédures doivent concerner l’ensemble du processus : la mise en place de mesures visant à détecter immédiatement une violation, à l’endiguer rapidement, à analyser les risques engendrés par l’incident et à déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées. Ces procédures participent ainsi à la documentation de la conformité au RGPD.
Qu’est-ce qu’une violation de données ?

L’article 4.12) du RGPD définit une violation de données à caractère personnel comme

une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Exemples :

suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ;
perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ;
introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.

Les obligations des responsables du traitement concernant les violations de données personnelles, et notamment leur notification à la CNIL et aux personnes concernées, sont définies aux articles 33 et 34 du RGPD.
Qui est concerné ?

Tous les organismes, publics comme privés et quelle que soit leur taille, sont soumis à ces obligations dès lors qu’ils traitent des données personnelles et qu’ils ont connaissance d’une violation de données personnelles. Elles ne sont plus réservées, comme avant le RGPD, aux seuls fournisseurs de services de communication électronique.

Les sous-traitants, qui traitent des données personnelles pour le compte d’un organisme responsable du traitement, ont également des obligations en matière de violation : ils doivent en particulier alerter l’organisme de tout incident de sécurité dans les meilleurs délais afin qu’ils puissent remplir ses obligations.