Cet amendement renforce les obligations des responsables de traitements en matière de sécurité des données personnelles et impose au responsable du traitement de donnée d'en informer la CNIL, et éventuellement l'utilisateur, en cas de violation du traitement (sauf s'il s'agit d'un fichier de police).

Une obligation d'information sur les failles de sécurité existe dans plusieurs pays et états américains. Une telle obligation avait été envisagée par le Sénat en 2010 (proposition de loi des sénateurs Detraigne et Escoffier).

Le fait de ne viser que les violations aux traitements, permet de ne pas viser les autres atteintes telles que, par exemple, la conservation d'une donnée au-delà de la durée maximale autorisée.

La commission de réflexion sur le droit et les libertés à l’âge du numérique a également émis une recommandation semblable (n°52) . Elle considère que l’ensemble des responsables de traitements « devrait être soumis à une obligation de notification aux autorités de régulation compétentes de tout accès non autorisé aux données personnelles, toute perte ou altération, qu’ils procèdent d’un acte malveillant ou d’une erreur matérielle. Cette notification devrait également être adressée aux personnes dont les données ont été violées, lorsque la violation peut avoir une incidence sur les personnes ».