Ce que dit le Règlement Général sur la Protection des données (RGPD)
La violation de données à caractère personnel est : « la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »
Pour résumer, il s’agit de tout incident de sécurité, malveillant ou non, qui a pour conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données personnelles.
Le RGPD oblige les responsables à notifier à la CNIL toute violation ou perte de données personnelles et à prévenir les personnes concernées si le risque est élevé.
Que faire en amont ?
L’entreprise doit prévenir toute violation en ayant mis en place en amont des dispositifs de protection :
- Tenir à jour une liste de tous les intervenants en interne pour la gestion des incidents et tous les prestataires externes.
- Prévoir tous les documents nécessaires à remplir pour la CNIL si cela est un jour nécessaire
- Mettre en place un outil de veille permanente de détection et de remontées d’alertes signalant toute activité suspecte
Que faire en cas de violation ?
1 – Tout d’abord, le notifier en interne :
- Déterminer la nature de la violation
- Connaître le nombre de personnes concernées
- Endiguer la violation rapidement
- Analyser les risques engendrés par la violation
- Décider si la CNIL et les personnes concernées doivent être prévenues.
2- Informer la CNIL dans un maximum de 72h après la constatation de la perte ou du vol des données sensibles, en lui donnant toute la documentation nécessaire.
Il est obligatoire d’informer la CNIL de l’incident sur la plateforme dédiée :
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
Si l’incident de sécurité constitue un risque pour la vie privée des personnes qui sont concernées, la CNIL devra en être informée, et si ce risque de vol de données est très élevé, vous devrez aussi en informer les personnes concernées. En cas de doute, la CNIL saura vous aiguiller.
3- Si la CNIL, en étudiant la notification, voit que tout a été réalisé pour endiguer la fuite et régler les problèmes de sécurité, le dossier sera clôturé.
En revanche, si elle voit qu’il reste beaucoup de choses à faire pour que cela ne se reproduise plus, par exemple, si les mesures prises ne sont pas les bonnes, elle vous demandera de revoir votre copie. Ces mesures visent à protéger au maximum les responsables de traitement et les victimes de vols ou de pertes de données sensibles.
De nos jours, il est de plus en plus important de maîtriser ses contenus.
Pour une entreprise, cela passe par l’utilisation d’un cloud, par exemple, pour maîtriser la sécurité des données envoyées. Car, aujourd’hui plus que jamais, nous savons que cela peut coûter très cher financièrement, mais aussi écorner son image. La gouvernance de l’information est un pôle primordial de l’entreprise à ne plus négliger.