Avoir de bonnes pratiques, protéger les données, sécuriser le stockage et avoir mis en place des procédures déontologiques de protection des données, va limiter les risques de violation des données. Mais il se peut que vous n’ayez pas pensé à tout.
Malgré toutes ces démarches, la violation des données à caractère personnel reste possible.
Ce qui nous amène à la question :
Que dois-je faire en cas de violation de la base qui contient les données à caractère personnel que j’utilise pour mes traitements ?
En cas de violation de votre système de données vous avez 72 heures maximum pour prévenir la CNIL et les personnes concernées.
On entend par les personnes concernées les citoyens dont les données ont été violées.
On entend par violation de données à caractère personnel :
- La destruction, la perte ou l’altération non désirée
- La divulgation non autorisée de données à caractère personnel
- L’accès non autorisé à des données à caractère personnel transmises, conservées ou traitées d’une autre manière.
Oui mais pour pouvoir prévenir la CNIL dans les 72 heures, il faut constater la violation.
Pour les systèmes électroniques, il existe des alertes automatiques, des antivirus, des logs qui vont nous permettre d’être informé rapidement de l’intrusion et de la violation des données.
Pour tous les autres traitements, qui ne sont pas électroniques, la déontologie et les bonnes pratiques sont de mise.
Si je reviens sur l’exemple de l’armoire qui contient l’ensemble des fiches de paye du personnel….Comment se rendre compte d’une violation de données à caractère personnel si l’armoire reste ouverte toute l’année, en accès libre à toutes personnes présentes dans le bureau.
La bonne pratique veut donc que la personne responsable du traitement des fiches de paye prenne conscience qu’il est nécessaire de fermer son armoire à clé dès qu’elle s’absente de son espace de travail (pour aller déjeuner par exemple).
La violation pourra alors être connue par le simple constat de l’effraction de l’armoire.
Que dois-je déclarer en cas de violation des données ?
Si malgré tous les moyens mis en place pour protéger vos données vous êtes victime d’une violation, vous êtes dans l’obligation de déclarer à la CNIL :
- La nature de la violation, si possible les catégories et le nombre approximatif de personnes concernées et d’enregistrement de données à caractère personnel concerné.
- Le nom de la personne à contacter, (S’il existe, les coordonnées du Data Protection Officer) pour obtenir les informations supplémentaires si nécessaire
- Les conséquences probables de la violation
- Et les mesures prises ou proposées d’être prises pour remédier à la violation, notamment les mesures pour en atténuer les éventuelles conséquences négatives.
Toutes ces mesures à prendre sont des obligations, toujours dans l’optique de protéger le citoyen européen.
Ne pas se soumettre à ces obligations vous expose à de lourdes sanctions financières.
A voir aussi :
- Qu’est ce que le Règlement Général sur la Protection des données ?
- Quel sont les objectifs du RGPD ?
- Dans quel cas s’applique le RGPD ?
- Qui est responsable des traitements des données ?
- Que risque-t-on si l’on ne se met pas aux normes ?
- Qu’est ce qu’une donnée à caractère personnel ?
- Exemples de données à caractère personnel
- Qu’est ce qu’un traitement de données ?
- Le traitement des données est il exclusivement électronique ?
- Dans la pratique : Quels sont les traitements typiques ?
- Suis-je responsable si je sous-traite mes traitements ?
- Sécurité des données : bonnes pratiques pour le RGPD
- Que dois-je faire en cas de violation de mes données ?
- Que dois-je déclarer en cas de violation ?
- Principales obligations pour se mettre aux normes
- Quelles sont mes autres obligations pour le RGPD ?
- Que dois je faire pour me mettre aux normes du RGPD ?
- Comment faire pour se mettre aux normes ?
- Quelles sont les chances pour que la CNIL vienne me contrôler ?
- RGPD - Le télémarketing est il mort ?
- Ma mission de DPO Externe
- Comment répondre à une demande de droit d’accès aux données personnelles d'un citoyen ?
- Faire une demande de devis pour une Revue Initiale de conformité au RGPD
- Formation RGPD pour les développeurs
- Répondre aux demandes de droit d'accès aux données personelles
- RGPD et marketing : Le consentement explicite
- Former ses employés pour une meilleur protection des données