Comment réagir en cas de violation de données personnelles ?

Version non adaptée de notre article paru initialement dans la revue ALERTES & CONSEILS GESTION FINANCE aux éditions Francis Lefebvre.

Comment réagir en cas de violation de données personnelles ?

Le Règlement Général relatif à la Protection des Données à caractère personnel (RGPD) fait obligation à tous les responsables de traitement de notifier les violations de données personnelles. Décryptage.

Qu’appelle-ton une violation de données à caractère personnel ?

Il s’agit d’« une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (RGPD art. 4-12). Ainsi, au-delà d’un classique piratage de données personnelles, une violation est constituée par toute action négative, involontaire et non contrôlée portant sur de telles données.

Exemple. Un responsable marketing souhaitant transférer une liste de clients par email à un collaborateur pour une campagne donnée se trompe de destinataire et envoie les données à un tiers.

Quelle démarche adopter ?

En cas de violation de données à caractère personnel, vous devez notifier a minima la CNIL, parfois la CNIL et les personnes impactées par la violation lorsque la situation présente un risque élevé. La CNIL fournit à cette fin un outil d’auto-évaluation.

A noter. Une exception est prévue lorsque « la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques », c’est-à-dire en pratique lorsque les données sont fortement chiffrées ou anonymisées.

Dans tous les cas, la violation devra être consignée et documentée dans un registre interne à l’entreprise (faits constatés, mesures de protection mises en œuvre et justifications afférentes).

Important. Les notifications doivent être effectuées le plus rapidement possible, en tout état de cause sous 72 heures.

Peut-on échapper à la notification des personnes ?

Un responsable de traitement ne peut y échapper que s’il a mis en place des mesures de protection techniques et organisationnelles appropriées, a pris des
mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ou si une telle notification entrainerait des efforts disproportionnés.

Attention ! La CNIL peut avoir une interprétation différente. Vous devez donc pouvoir justifier que votre choix s’inscrit dans le cadre de ces exceptions.

Compte tenu des sanctions applicables en cas de manquement à l’obligation de notification (10 M€ ou 2 % du CA), prévoyez une procédure en amont permettant de gérer cette crise et documentez vos choix quant au type de notification adopté.

By | 2018-06-27T13:37:18+00:00 24 avril 2018|Data Lex|