Tout organisme ayant mis en œuvre un traitement de données personnelles doit mettre en place des mesures pour prévenir les violations et réagir de manière appropriée en cas d'incident.
La violation est définie comme la perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite.
Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement doit :
• documenter, (registre), la violation qui vient de se produire ;
• notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h à compter de la constatation.
Si la violation entraîne un risque élevé pour les droits et libertés des personnes concernées, il doit en outre communiquer la violation aux personnes concernées, au plus tôt.