Si 2018 nous a enseigné une chose, c’est que lorsqu’il s’agit de violations de données la question qui se pose n’est pas « si » mais « quand ». Les spécialistes du secteur n’ont cessé de le répéter – non pas dans le but de menacer les entreprises mais de leur rappeler qu’elles doivent se préparer afin de pouvoir faire face.
Nous sommes tous des victimes potentielles, et il est possible de subir une violation de données même en ayant mis en place les défenses nécessaires.
Ces derniers mois, IT Governance a aidé les organisations à se préparer. Dans ce blog, nous vous présentons trois moyens de limiter les répercussions financières d’une violation de données, vous conformer au RGPD (Règlement Général Européen sur la Protection des Données) et assurer que votre réputation reste intacte.
Signaler une violation de données
Selon le RGPD, les organisations ont 72 heures à partir du moment où elles prennent connaissance de la violation de données personnelles pour la signaler aux autorités de contrôles. Elles doivent fournir des détails concernant la manière dont la violation de données s’est produite, les données ayant été affectées, le nombre de personnes concernées impactées et les mesures qu’elles comptent prendre pour répondre à cet incident.
Les organisations s’étant préparées seront exactement ce que l’on attend d’elles et comment rassembler les informations nécessaires. Elles auront également les coordonnées de leur autorité de contrôle et seront donc sûres d’avoir fait suivre les informations requises à la bonne personne.
Informer les personnes concernées
Dans certains cas, vous devrez également contacter les personnes impactées par la violation de données. Si vous vous êtes préparés correctement, vous saurez rapidement si cela est nécessaire. Vous saurez également ce que vous devez mentionner dans votre notification.
Nous recommandons généralement aux organisations de demander aux personnes concernées de changer leur mot de passe et de faire attention aux activités suspectes sur leur compte.
Si les données financières sont concernées, vous devriez alors suggérer aux personnes concernées de suspendre leur compte bancaire et de demander une nouvelle carte de paiement.
Enquête de l’autorité de contrôle
Une fois que l’autorité de contrôle est alertée, elle mènera une enquête sur l’organisation afin de déterminer si la violation de données aurait pu être évitée.
Si elle découvre des manquements dans les pratiques de protection des données de l’organisation, l’autorité de contrôle demandera à l’organisation de changer ces pratiques. Si les lacunes sont importantes, l’autorité de contrôle peut également avoir recours à des amendes. La sanction maximale est de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’organisation, selon le montant le plus élevé. Cependant, seules les infractions flagrantes et répétées engendreront des amendes de ce niveau.
Les organisations s’étant préparées seront confiantes et pourront travailler sereinement avec les autorités de contrôle car elles n’auront rien a caché. Nos conseils ont pour but de vous aider à vous conformer avec le RGPD, signifiant que vous avez fait tout ce qui était en votre pouvoir pour empêcher l’incident.
Découvrez comment vous préparer >>
