NIS 2 Chapitre 7 Article 35

Article 35 – Infractions donnant lieu à une violation de données à caractère personnel

  1. Lorsque les autorités compétentes prennent connaissance, dans le cadre de la supervision ou de l’exécution, du fait que la violation commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 21 et 23 de la présente directive peut donner lieu à une violation de données à caractère personnel au sens de l’article 4, point 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent sans retard injustifié les autorités de contrôle visées à l’article 55 ou 56 dudit règlement.
  2. Lorsque les autorités de contrôle visées à l’article 55 ou 56 du règlement (UE) 2016/679 imposent une amende administrative en vertu de l’article 58, paragraphe 2, point i), dudit règlement, les autorités compétentes n’imposent pas d’amende administrative au titre de l’article 34 de la présente directive pour une violation visée au paragraphe 1 du présent article et découlant du même comportement que celui qui a fait l’objet d’une amende administrative au titre de l’article 58, paragraphe 2, point i), du règlement (UE) 2016/679. Les autorités compétentes peuvent toutefois imposer les mesures d’exécution prévues à l’article 32, paragraphe 4, points a) à h), à l’article 32, paragraphe 5, et à l’article 33, paragraphe 4, points a) à g), de la présente directive.
  3. Lorsque l’autorité de contrôle compétente en vertu du règlement (UE) 2016/679 est établie dans un autre État membre que l’autorité compétente, l’autorité compétente informe l’autorité de contrôle établie dans son propre État membre de la violation potentielle de données à caractère personnel visée au paragraphe 1.