Deux types de violations de données doivent être notifiées à la CNPD:
Les violations de données dans le cadre du règlement général sur la protection des données
Les responsables de traitement doivent notifier les violations de données à caractère personnel à la CNPD dans un délai de 72 heures après en avoir pris connaissance si la violation en question est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, ainsi qu'aux personnes concernées elles-mêmes dans les meilleurs délais si ce risque est élevé.
Les violations de données dans le secteur des communications électroniques
Conformément au règlement (UE) No. 611/2013 de la Commission européenne du 24 juin 2013 entrant en vigueur le 25 août 2013, les fournisseurs de services de communications électroniques accessibles au public, comme les entreprises de téléphonie fixe ou mobile ou les fournisseurs d’accès à Internet, doivent avertir endéans 24 heures la CNPD après le constat d’une violation de la sécurité et de la confidentialité de données à caractère personnel et informer de surcroît leurs abonnés dès lors que l’incident constaté est susceptible d’affecter défavorablement le niveau de la protection de leur vie privée et des données les concernant.