Une violation de données est une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière
ou l’accès non autorisé à de telles données.
Bien gérer une violation de données est essentiel. Peu importe, que la violation soit accidentelle ou illicite.
La caractérisation d’une violation de données à caractère personnel entraîne plusieurs obligations. A la charge du responsable du traitement et du sous-traitant, concernant :
– la notification des violations au responsable du traitement puis à l’autorité de contrôle ;
– la communication des violations aux personnes concernées.
Lorsqu’il constate une violation de données à caractère personnel, le responsable du traitement doit la notifier à l’autorité de contrôle dans un délai de 72 heures. A moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
La notification devra notamment comporter la description de la nature et des conséquences de la violation de données personnelles. Ainsi que les mesures à prendre pour y remédier et en atténuer les éventuelles conséquences négatives.
Une très grande réactivité est nécessaire en cas de violation de données à caractère personnel. Qu’il s’agisse de résoudre l’incident ou de notifier et communiquer sur la violation.
Violation de données et accountability
La gestion des violations de données à caractère personnel doit être documentée.
Pour ce faire, un Registre de violations de données personnelles doit être constitué.
Par ailleurs, l’information des personnes concernées est requise si la violation de données est susceptible d’engendrer « un risque élevé » pour les droits et libertés de ces personnes.
La communication auprès de la personne concernée doit intervenir dans les meilleurs délais. Dans des termes « clairs et simples ». Et porter sur le nom et les coordonnées du délégué à la protection des données, les conséquences probables de la violation des données et les mesures prises.
Pour gérer une violation de données, nous avons développé un outil disponible en mode SaaS de gestion du registre des violations de données personnelles conforme au obligations découlant du RGPD.