Qu’est-ce qu’une violation de données?
Dans une entreprise, la majorité des violations de données provient d’erreurs humaines involontaires et sans intention malveillante: envoi d’e-mails au mauvais destinataire, perte de documents numérisés ou non (par exemple, une contenant les plans de sécurité de l’aéroport londonien d’Heathrow), etc.
Nature des incidents Rapport annuel 2019 de la Commission Nationale pour la protection des données (CNPD)
Vous l’aurez compris, une violation de données se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, de manière accidentelle ou illicite, à des données personnelles. Elle peut être de trois types:
· Une violation de confidentialité, c’est-à-dire qu’il y a eu la divulgation ou un accès non autorisé aux données;
· Une violation d’intégrité, où les données sont modifiées, altérées;
· Une violation de disponibilité, quand la donnée est perdue ou détruite.
Disposez-vous d’une procédure en cas de violation de données?
Une violation de données peut entraîner un chaos dans une entreprise qu’une procédure permettra d’endiguer.
L’application d’une procédure claire permettra aux intervenants d’éviter les erreurs liées au stress d’une violation de données. La procédure facilitera la qualification exacte de la violation de données, et permettra de suivre la guidance pour adopter la réaction appropriée.
L’inscription de la violation dans le registre des violations de données
Chaque violation de données doit être documentée dans un registre des violations de données, quelle que soit la gravité de l’incident. Ce registre confidentiel peut être consulté par l’autorité de contrôle, à Luxembourg la CNPD, notamment lorsqu’elle est saisie par une plainte d’une personne concernée.
Ce registre est obligatoire et devra au moins contenir:
· La nature de la violation;
· Le(s) fichier(s) touché(s);
· Les personnes concernées et leur nombre approximatif;
· Les conséquences possibles;
· Les mesures prises pour arrêter la violation ou en limiter les conséquences;
· Et, selon les hypothèses, une explication sur l’absence de notification à l’Autorité de contrôle ou d’information aux personnes concernées.
Faut-il informer la CNPD ou les personnes concernées?
Vous devrez évaluer le risque engendré par la violation sur les droits et libertés des personnes pour savoir si vous avez l’obligation légale de procéder à une notification. La grille d’évaluation des risques dans votre procédure de violation des données vous permettra de réagir rapidement, parce que le temps est compté: vous disposez de 72 heures (week-end et jours fériés compris).
Sans risque identifié, aucune notification ne doit être faite. En revanche, en présence d’un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNPD dans les 72 heures après en avoir pris connaissance. Enfin, en présence d’un risque élevé, vous devrez également informer la (ou les) personne(s) concernée(s). Certaines dérogations existent, mais elles devront être appliquées de manière stricte et limitée, et devront être justifiées dans le registre des violations.
Il est inutile d’imaginer une entreprise sans violation de données, ce que la CNPD sait en demandant à consulter les registres des violations lors des plaintes dont elle est saisie. En revanche, la mise en place d’une procédure pour réagir de manière adéquate et d’un registre tenu à jour régulièrement permettra de réagir rapidement, sans mobiliser trop de personnel et dans la conformité légale, afin d’éviter des sanctions de la CNPD.
Pour plus d’informations et un accompagnement sur vos procédures RGPD, contactez-nous à l’adresse ou sur notre site internet: .