Définition :

Une violation de données à caractère personnel correspond à toute action, intentionnelle ou non, portant atteinte à la confidentialité, l’intégrité, ou la disponibilité de données à caractère personnel. Ex : perte d’un document contenant des données personnelles, introduction malveillante dans une base de données.
Une faille de sécurité correspond à une vulnérabilité au sein d’un système informatique (SI) pouvant mettre en danger son intégrité si cette vulnérabilité est exploitée. Ex : injection SQL, hameçonnage / phishing, ransomware, …
Les failles de sécurité n’affectent pas toujours des données à caractère personnel et, n’entrainent donc pas toujours une violation de données personnelles. Il convient donc d’analyser les données concernées par la faille de sécurité.

Article 33 du RGPD

A retenir :

  1. Lorsque l’entreprise est sous-traitant des données

Obligations du responsable du traitement :  

  • Obligation de notifier auprès de l’autorité de contrôle compétente les violations dont les données qu’ils traitent font l’objet, lorsqu’il existe un risque pour les personnes concernées.

Formulaire de la CNIL : https://notifications.cnil.fr/notifications/index

Attention : Le formulaire de notification de la CNIL requiert que soient précisés les motifs du retard. La CNIL exige un nouveau délai de 72 heures entre la notification initiale et la notification complémentaire.

  • Obligation de documenter toute violation de données afin de permettre à l’autorité de contrôle d’effectuer un contrôle a posteriori de l’ensemble des violations de données personnelles (tenir un registre des violations de données à caractère personnel) ;
  • Obligation, lorsqu’il existe un risque élevé pour les droits et libertés des personnes concernées, de communiquer la survenance d’une violation de données auprès des personnes concernées.

Quand ?

  • Obligation de notification à l’autorité de contrôle dans les 72 heures ;
  • Obligation de communication aux personnes concernées dans les meilleurs délais.
  1. Lorsque l’entreprise est sous-traitant des données

Obligation du sous-traitant :

  • Obligation d’information du responsable du traitement des données à caractère personnel concernées

Quand informer le responsable de traitement ?

Le sous-traitant a l’obligation d’informer le responsable de traitement dans les meilleurs délais.

Attention : un délai peut être imposé contractuellement par le responsable de traitement.

Nos conseils :

  • Lorsque l’entreprise agit en tant que responsable de traitement, il est recommandé de :
    • mettre en œuvre une politique de gestion des violations de données à caractère personnel en interne,
    • compléter une notification initiale auprès de la CNIL qui aura vocation à être complétée « dans les meilleurs délais » par une notification complémentaire.
  • Lorsque l’entreprise agit en tant que sous-traitant, il est recommandé de ne pas réaliser de notification à l’autorité de contrôle ou de communication aux personnes concernées pour le compte du responsable de traitement.

Je veux connaître mes obligations en cas de violation de données à caractère personnel et connaître comment prévenir une faille de sécurité, que dois-je faire concrètement ?

  1. Consulter nos prochaines formations pour apprendre à se mettre en conformité avec la réglementation RGPD ;
  2. Nous vous mettons en relation avec un avocat spécialisé et expérimenté qui répondra à vos obligations pour vous permettre de garantir la sécurité des données personnelles traitées et assurer ne sécurité physique et informatique.

Blog

VOIR TOUT

4. Violation de données / faille de sécurité

3. Information des personnes concernées (Politique de confidentialité)

2. Registre des activités de traitement

1. RGPD et DPO