Il résulte du paragraphe 1 de l’article 33 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) que l’obligation de notifier à la Commission nationale de l’informatique et des libertés (CNIL) une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle‑même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.

Le I de l’article 26 de la loi n°78‑17 du 6 janvier 1978 dans sa rédaction applicable et le deuxième alinéa de l’article 84 du décret n°2005‑1309 du 20 octobre 2005, qui constituent des garanties pour toute personne dont les données nominatives font l’objet du traitement en cause, mais aussi pour le gestionnaire du fichier et pour ses utilisateurs, pour lesquels la limitation d’accès des personnes qualifiées garantit la confidentialité et l’intégrité du fichier concerné, implique que toutes les personnes participant à des vérifications à la demande de la CNIL disposent de cette habilitation spécifique, soit que les vérifications ordonnées aient pour objet un traitement relevant de l’article 26 de la loi du 6 janvier 1978, soit que les agents découvrent des données issues d’un traitement de ce type alors que de telles données n’étaient pas initialement visées par les vérifications.

Toutefois, dans ce dernier cas, la Régularité des opérations de vérification ne sera pas viciée si le procès‑verbal contradictoire des opérations signé par les agents et du représentant de la personne objet de la vérification atteste que les agents dépourvus de l’habilitation requise ont immédiatement cessé de participer aux opérations de vérification.