Les questions fréquemment posées sur le RGPD

Alors que la date butoir de mise en application du Règlement Général Européen sur la Protection des Données approche, nous avons organisé de nombreuses formations au cours desquelles de nombreuses questions ont été posées à nos experts. Vous trouverez ci-dessous une liste des questions les plus fréquemment posées ainsi que les réponses de nos spécialistes.

 

 

Q : A qui doit-on signaler une violation de données ?

 

R : Une violation de données qui menace les droits et libertés des individus doit être signalée auprès de votre autorité de contrôle. Si cette menace est non négligeable, vous devrez également informer la personne concernée.

Les sous-traitants étant victimes de violations de données doivent informer l’autorité de contrôle ainsi que les personnes concernées lorsque nécessaire.

 

 

Q : Une intrusion est-elle considérée comme une violation de données même si aucune donnée n’a été subtilisée (tel qu’avec un ransomware) ?

 

R : Oui. Une violation de données comprend le vol de données ainsi que toute intrusion débouchant sur la destruction, perte, modification, divulgation ou accès non-autorisé aux données personnelles.

 

 

Q : Une violation de données concernant des données test doit-elle être signalée ?

 

R : Si les données test comprennent des informations permettant à une personne d’être identifiée, la violation de données entre alors dans le champ d’application du RGPD. Cela s’applique aussi en cas d’atteinte à la sécurité des données ou de test concernant des données utilisées sans la permission de la personne concernée.

 

 

Q : Existent-ils des lignes directrices concernant la méthode de signalement d’une violation de données à la personne concernée ?

 

R : Le RGPD ne précise pas les méthodes de signalement de violations des données. C’est aux organisations de développer leurs propres procédures internes régissant les communications devant être envoyées aux personnes concernées en réponse à la violation de données.

 

Cependant, lors du signalement d’une violation de données à la personne concernée, il est impératif d’inclure les informations suivantes (dans un langage clair et simple) :

  • La nature de la violation de données ;
  • Le nom et les coordonnées du délégué à la protection des données (DPD) ;
  • Les consequences probables liées à cette violation de données ;
  • Les mesures prises ou proposes afin de répondre à cette violation de données.

 

Dans les cas où plus d’une personne est concernée par la violation de données, une notification publique peut s’avérer être la méthode de signalement la plus appropriées.

 

 

Q : Les entreprises doivent-elles signaler toutes les violations de données, même les plus petites ?

 

R : Les violations de données ne doivent être signalées à l’autorité de contrôle que lorsqu’elles peuvent représenter un risque pour les droits et libertés des personnes concernées.

 

 

Q : Comment le délai de 72 heures accordé pour le signalement d’une violation de données peut-il être appliqué ?

 

R : Le non-signalement d’une violation de données pouvant représenter un risqué important vis-à-vis des droits et libertés de résidents européens engendrera des actions disciplinaires strictes. Cela peut signifier des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global (selon le montant le plus élevé). L’article 83 du règlement stipule que la manière dont l’autorité de contrôle apprend qu’il y a eu une violation de données sera prise en compte lors de la prise de décision concernant la sanction à imposer. En d’autres termes, toute organisation ne signalant pas la violation de données à l’autorité de contrôle risque de faire face à des sanctions plus strictes.

 

Bien que cela ne garantisse pas le fait que les organisations signalent une violation de données sous le délai de 72 heures prévu par le règlement, on peut penser que les sanctions strictes pouvant être utilisées à l’encontre de ces organisations les inciteront à se conformer aux exigences.

 

 

Q : Lorsqu’il s’agit du signalement de violations de données, savez-vous s’il existe des critères permettant de noter les incidents et de décider ce qui doit être signalé et ce qui peut être résolu sur place ?

 

R : Toute violation de données pouvant représenter un risqué pour les droits et libertés des personnes concernées devra être signalée aux autorités et analysée au cas par cas. Par exemple, une autorité de contrôle devra être informée lors de la perte de données clients lorsque la violation de données peut résulter en un vol d’identité pour le client concerné. Cependant, la perte ou la modification inappropriée d’une liste de téléphone d’un employé ne répond pas aux exigences de signalement.

 

 

Se préparer au RGPD

 

Les organisations se préparant au RGPD auront probablement à leur disposition une équipe d’experts afin de mettre en place les mesures appropriées. Cependant, il est tout aussi essentiel de sensibiliser toute personne étant impliquée dans le traitement de données personnelles.

 

La sensibilisation du personnel est essentielle mais peut parfois s’avérer compliquée à mettre en place. C’est pourquoi, IT Governance propose une formation de sensibilisation du personnel au RGPD vous permettant de mettre les connaissances nécessaires à disposition de vos employés.

 

En savoir plus sur notre formation du personnel au RGPD >>

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.