Dans l'art. 33, le RGPD spécifie qu'un responsable du traitement doit notifier une violation de données personnelles à l'autorité de contrôle après en avoir pris connaissance .
Cas 1: Une base de données contenant des données personnelles est hébergée pendant un certain temps sur un serveur accessible à partir d'Internet. Le fichier peut être téléchargé sans authentification de quiconque connaissant l'URL.
Le contrôleur n'a aucune preuve que quelqu'un télécharge le fichier car le serveur Web hébergeant le fichier ne conserve aucun journal, ou tous les journaux pendant toute la période pendant laquelle le fichier a été disponibles au téléchargement sont conservés sur le serveur car ils sont automatiquement tournés.
Dans ce cas, le responsable du traitement doit-il en informer l'autorité de surveillance? Même s'il n'y a aucune preuve de violation?
Cas 2: disons qu'une application Web disponible sur Internet donne accès à certains utilisateurs à des données personnelles sensibles. Il s'agit du principal cas d'utilisation de cette application Web. Le site Web utilise https pour crypter les données en transit. Pour certaines erreurs de configuration sur le serveur Web, https est désactivé et tout le trafic vers ce site Web est en clair pendant un certain temps.
Dans ce deuxième cas, le responsable du traitement doit-il informer l'autorité de surveillance? Même s'il n'y a aucune preuve de violation parce qu'aucun homme au milieu n'a été détecté?