La CNIL rapporte qu'en moyenne 20 notifications de violations de données lui sont adressées par jour. Et plus de 5 millions de personnes touchées par une fuite de données en 2023.
Le RGPD fait reposer sur les responsables de traitement et les sous-traitants des obligations de notification en cas de violation de données.
Après la lecture de cet article, vous pourrez :
Savoir que faire si vous êtes responsable de traitement conjoint
Savoir que faire si vous êtes sous-traitant de données personnelles
👉Qu'est ce qu'une violation de données?
Il y a violation de données lorsque les données personnelles que vous traitez perdent :
👉 Leur disponibilité : Vous ne pouvez plus y accéder
👉 Leur intégrité : Les données ont été endommagées et altérées
👉 Leur confidentialité : Des personnes non autorisées y ont eu accès
⚠️ Une violation peut résulter d'un acte malveillant mais également accidentel
Par exemple sont des violations de données personnelles :
Une erreur de destinataire pour un mail contenant des données sensibles ou à risques (données de santé, fiche de paie...)
La perte d'un ordinateur portable non sécurisé (sans chiffrement ou mots de passe) contenant des fichiers clients
L'introduction malveillante dans une base de données pour aspirer les données contenues dans le CRM
⚠️Que faire pour un responsable de traitement?
Je suis responsable de traitement lorsque mon organisation décide des finalités et des moyens du traitement.
Par exemple : Un responsable de traitement est une organisation qui décide de mener une campagne de promotion par email. C'est cette organisation qui décide de la finalité ("Faire une campagne de promotion auprès de ses prospects") et des moyens ("utiliser le logiciel d'emailing Sarbacane").
1️⃣ Documenter la violation de données en interne : Un registre des violations de données est à tenir et à compléter à chaque violation de données en déterminant :
La nature de la violation
Les catégories et le nombre de personnes concernées
Le nombre approximatif de données violées
Les conséquences de la violation sur la vie privée des personnes concernées
Les mesures prises pour remédier à la violation de données.
2️⃣ Notifier la CNIL : Si la violation constitue un risque pour la vie privée des personnes concernées, vous devez notifier la violation de données à la CNIL dans un délai de 72h.
3️⃣ Notifier les personnes concernées : si et seulement si, la violation de données constitue un risque élevé pour la vie privée des personnes concernées, alors vous devez notifier la violation de données auprès de ces personnes.
A moins que :
▶️ Des mesures empêchent l'utilisation des données (ex : chiffrement du terminal)
▶️ Vous avez pris des mesures qui garantissent que le risque ne puisse plus se matérialiser.
▶️La notification des personnes concernées demanderait des efforts disproportionnés.
⚠️Que faire pour un responsable conjoint de traitement ?
Je suis responsable de traitement conjoint lorsque mon organisation partage les décisions des finalités et moyens des traitements avec un autre organisme.
Par exemple : Un responsable de traitement conjoint est une organisation qui décide de mener une campagne de promotion par email en partenariat avec une autre organisation.
1️⃣ Notifier aux autres responsables de traitement : la notification doit être faite sans délais. Un responsable de traitement devra être désigné pour respecter l'obligation de notification de données personnelles (voir l'organisation du dessus).
2️⃣ Documenter la violation de données : chaque responsable de traitement tient et met à jour son registre des violations de données en déterminant :
La nature de la violation
Les catégories et le nombre de personnes concernées
Le nombre approximatif de données violées
Les conséquences de la violation sur la vie privée des personnes concernées
Les mesures prises pour remédier à la violation de données.
⚠️Que faire pour un sous-traitant?
Je suis sous-traitant lorsque mon organisme réalise un traitement de données sur instruction documentée et pour le compte d'un autre organisme.
Par exemple : Un sous-traitant est la plateforme d'emailing Sarbacane. Elle met en œuvre la campagne d'emailing sur les instructions du responsable de traitement qui détermine quelles cibles, quel message, quelle récurrence,...
1️⃣ Notifier au responsable de traitement : la notification doit être faite sans délais. L'obligation de notification de données personnelles repose sur le responsable de traitement.
2️⃣ Documenter la violation de données : même en tant que sous-traitant, vous devez tenir un registre des violations de données et le compléter dès que c'est nécessaire en déterminant :
La nature de la violation
Les catégories et le nombre de personnes concernées
Le nombre approximatif de données violées
Les conséquences de la violation sur la vie privée des personnes concernées
Les mesures prises pour remédier à la violation de données.
Vous venez de subir une violation de données et vous ne savez pas par quoi commencer ? Vous avez besoin d'accompagnement pour mettre en place votre conformité RGPD : contactez-nous!
xDPO propose aussi une offre de formation au RGPD et en cybersécurité.
Les internautes ont aussi consulté dans le Blog: