Qu’est-ce qu’une violation de données à caractère personnel dans le cadre d’une procédure pour violation de données ?
Pour qu’il y ait violation, 2 conditions doivent être réunies : – Vous avez mis en œuvre un traitement de données personnelles. – Ces données ont fait l’objet d’une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite).
Quelques exemples :
– Perte ou vol d’un ordinateur pouvant accéder au réseau et n’ayant pas la sécurité adéquate (mot de passe sur l’ordinateur, absence de mot de passe),
– Perte ou vol d’une clé USB ou Disque Dur avec des informations sur des enfants, salariés (comme le salaire…)
– Intrusion dans les locaux au service paie,
– Perte ou vol d’une sauvegarde,- Vol et/ou Divulgation par un salarié de données personnelles.- ….
Ligne directe 01 83 64 42 98 ou prendre un rendez-vous ici afin de vous accompagner dans la mise en place de la procédure et/ou la déclaration d’incident. Utilisez notre tchat pour poser toutes vos questions GRATUITEMENT en ce qui concerne la procédure pour violation de données.
Environ 70% des français se disent de plus en plus sensibles à la question de la protection de leurs données personnelles (d’après un sondage Ifop de 2019).
Or, le défaut de sécurisation des données personnelles constitue aujourd’hui un motif récurrent de plainte et de notification auprès de la CNIL. 2/3 des sanctions prononcées par la CNIL visent des manquements à l’obligation de sécurité des données.
En témoignent les actualités récentes dans le secteur médical (fuite de données personnelles dans les hôpitaux ou les laboratoires), ou encore la sanction récente de deux médecins aux amendes respectives de 3000 euros et 6000 euros pour n’avoir pas respecté l’obligation de notification de la violation des données de leurs patients auprès de la CNIL.
Obtenez un schéma de procédure par mail :
Que faire en cas de violation de données et mettre en place une procédure pour violation de données.?
Si un tel cas devait se produire, vous devez me contacter IMMEDIATEMENT, par mail et/ou téléphone.
Dans tous les cas, je dois documenter l’incident en déterminant :
– la nature de la violation,
– si possible, les catégories et le nombre approximatif de personnes concernées par la violation,
– les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
– décrire les conséquences probables de la violation de données ;
– décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident ne se reproduise ou atténuer les éventuelles conséquences négatives.
Si l’incident constitue un risque au regard de la vie privée des personnes concernées, je le dois notifier à la CNIL. En cas de risque élevé, nous devons également notifier les personnes concernées.
L’obligation de notifier à la CNIL les violations de données à caractère personnel est prévue à l’article 33 du règlement général sur la protection des données (RGPD). Elle concerne tous les responsables de traitement de données à caractère personnel. Dans le cas où la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, l’article 34 du RGPD impose de notifier ces dernières.
Il est bien entendu que si vous ne m’avertissez pas, ce défaut de procédure ne pourra pas m’incomber. Lors de ma visite, je vous laisserai un petit guide sur les procédures, dont celle-ci.
En cas de doute, sur les données ou sur une éventuelle violation, il est impératif de
contacter votre DPO ou appelez nous au 01 83 64 42 98 dès que vous en avez connaissance quel que soit le jour et l’heure. Nous vous accompagnerons rapidement.
A la CNIL :Dans les 24h de la constatation de la violation ;
Si vous ne pouvez pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, notification complémentaire dans le délai de 72 heures après la notification initiale.
A la personne concernée : dans les meilleurs délais – lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne.
Téléchargez et compléter le formulaire de Notification de Violation de données personnelles;
Dépôt en ligne ou envoi postal ;
Demander à DPO Partagé si vous devez notifier la violation de données.
A la personne concernée : communiquer en des termes clairs et simples :
la nature et conséquences de la violation de données à caractère personnel ;
les coordonnées du DPO ;
les mesures prises ou à prendre pour remédier à la violation.
La CNIL instruit la notification.
Clôture de la procédure par la CNIL si :
La violation ne porte pas atteinte aux données personnelles ou à la vie privée des personnes.
Vous avez correctement informé les personnes concernées.
Vous avez mis en place, préalablement à la violation, des mesures techniques de protection appropriées.
La CNIL pourra vous imposer d’informer les personnes concernées si elle constate que :
Vous ne les avez pas correctement informées.
Les mesures techniques de protection que vous avez mises en place préalablement à la violation ne sont pas appropriées.
Il faut noter que la CNIL dispose d’un délai de 2 mois pour vérifier le caractère approprié ou non de ces mesures techniques. En l’absence de retour de la CNIL dans ce délai, vous devrez considérer que les mesures ne sont pas appropriées et vous devrez immédiatement informer les personnes de la violation.
Un DPO vous assiste afin de qualifier votre violation de données. Il déterminera avec vous si vous êtes dans un véritable cas de violation de données. Ceci de façon totalement anonyme.
Eviter les violations de données, éviter les sanctions de la CNIL au 01 83 64 42 98
Voici comment se passe un contrôle de la Commission nationale de l’informatique et des libertés (CNIL) suite à une violation de données :
- La CNIL reçoit une notification d’une violation de données, que ce soit par l’entreprise concernée ou par un tiers (par exemple, un utilisateur ou un autre organisme de réglementation).
- La CNIL vérifie que la violation de données est susceptible de constituer une atteinte à la vie privée des personnes concernées et qu’elle nécessite une intervention de la CNIL.
- La CNIL informe l’entreprise concernée de sa décision de mener un contrôle, en précisant les objectifs et la durée du contrôle, ainsi que les droits et obligations de l’entreprise.
- L’entreprise concernée prépare les documents et les informations nécessaires pour le contrôle, en collaboration avec la CNIL.
- La CNIL effectue le contrôle sur place, en examinant les documents et en interrogeant les responsables de l’entreprise concernée.
- La CNIL évalue les résultats du contrôle et établit un rapport, qui présente les constatations de la CNIL et les éventuelles suites à donner (par exemple, des sanctions ou des recommandations pour améliorer la protection des données).
- L’entreprise concernée prend les mesures nécessaires pour remédier aux éventuelles carences identifiées par la CNIL et mettre fin à la violation de données.
- La CNIL suit la mise en œuvre des mesures prises par l’entreprise concernée et vérifie que la violation de données est effectivement résolue.
En résumé, voici comment mettre en place une procédure interne pour gérer une violation de données :
- Identifiez les personnes responsables de la gestion des violations de données dans votre entreprise, en particulier le délégué à la protection des données (DPO) si vous en avez un.
- Établissez des critères pour déterminer si une violation de données est susceptible de constituer une atteinte à la vie privée des personnes concernées et nécessite une intervention.
- Définissez les étapes à suivre pour gérer une violation de données, en prenant en compte les exigences du Règlement général sur la protection des données (RGPD) et les éventuelles obligations légales ou réglementaires applicables.
- Préparez les outils et les supports nécessaires pour gérer une violation de données, tels que des formulaires de notification, des checklists d’analyse et des modèles de courriers.
- Former les personnes concernées (notamment les responsables de la gestion des violations de données) sur les étapes et les outils à utiliser pour gérer une violation de données.
- Mettre en place des procédures de contrôle et de suivi pour vérifier que les violations de données sont gérées de manière efficace et conforme au RGPD.
- Révisez et mettez à jour régulièrement votre procédure interne pour gérer les violations de données, en fonction des évolutions du RGPD et de votre propre organisation.
