RGPD Q&R : Violations de données

Alors que la date butoir de mise en conformité pour le Règlement Général Européen sur la Protection des Données (RGPD) approche, nous avons décidé de réunir ci-dessous les principales questions qui nous ont été posées durant ces derniers mois au sujet de la violation des données et des failles de sécurité.

 

Q : A qui devons-nous signaler une violation de données ?

R : Une violation qui menace les droits et libertés des individus doit être reportée auprès de votre autorité de contrôle. Lorsqu’il s’agit d’une menace importante, vous devez également informer les personnes concernées.

Les sous-traitants qui font face à une violation de données doivent informer le responsable du traitement sans délai. Le responsable doit alors avertir l’autorité de contrôle et les personnes concernées si nécessaire.

 

Q : Une attaque est-elle considérée comme violation même si aucune donnée n’a été récupéré (ex : ransomeware) ?

R : Oui. Une violation de données comprend tout vol de données ainsi que toute intrusion menant à la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles.

 

Q : Est-ce qu’une violation de données test (vraies données aléatoires) doit être signalée ?

R : Si les données test comprennent des informations qui pourraient permettre d’identifier une personne physique, elles sont alors sujettes au RGPD. Il en va de même pour les failles de sécurité liées à ces données, ou pour tester des données utilisées sans l’autorisation de la personne concernée.

 

Q : Existe-t-il des recommandations quant à la manière de notifier une personne concernée d’une violation de ses données personnelles ?

R : Le RGPD ne précise de quelle façon vous devez signaler une violation de données. C’est aux entreprises de développer leurs propres procédures internes déterminant sous quelle forme ceci doit être communiqué aux personnes concernées en réponse aux failles de sécurité. Cependant, lors du signalement d’une intrusion à une personne concernées, il est impératif d’inclure les informations suivantes dans un langage claire et simple :

  • La nature de l’intrusion
  • Le nom et les coordonnées du délégué à la protection des données approprié
  • Les conséquences probables liées à l’intrusion
  • Les mesures qui ont été prises ou proposées afin de remédier à l’intrusion

Lorsque les données de plusieurs personnes ont été affectées, un avis public est souvent le moyen de signalement le plus approprié.

 

Q : Les entreprises sont-elles réellement sensées signaler toutes les intrusions, même s’il s’agit d’intrusions mineures ?

R : Les violations de données ne doivent être signalées à l’autorité de contrôle que si elles sont susceptibles de présenter un risque pour les droits et libertés d’une personne physique vivante.

 

 Q : Comment la limite de 72 heures pour le signalement d’une violation de données peut-elle être imposée ?

R : Le non signalement d’une intrusion qui présente un risque important pour les droits et libertés de résidents européens entrainera des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel, selon le montant le plus élevé.

L’article 85 du règlement indique que la façon dont l’autorité de contrôle est informée d’une intrusion affectera l’amende imposée. Autrement dit, toute organisation qui ne signale pas son autorité de contrôle d’une violation de données risque de se voir infliger des amendes plus importantes.

En soi, cela ne précise pas vraiment comment les autorités de contrôle s’assureront que les violations de données soient signalées dans un délai de 72 heures. Cependant, il est raisonnable de penser que les lourdes sanctions financières inciteront les entreprises à se conformer aux exigences du règlement.

 

 Q : En ce qui concerne le signalement d’intrusion selon le RGPD, savez-vous s’il existe un ensemble de critères définis permettant de noter les intrusions et de décider lesquels devraient être signalés et lesquels peuvent être gérées localement ?

R : Toute intrusion qui présente un risque pour les droits et libertés d’une personne physique devra certainement être signalée aux autorités et évaluée au cas par cas.

Exemple : Une autorité de contrôle devra être informée de la perte de données client lorsqu’une intrusion expose un individu à l’usurpation d’identité. Cependant, le perte ou l’altération inappropriée d’une liste des numéros de téléphone du personnel reste en dessous du seuil à partir duquel les intrusions doivent être signalées

 

Participez à nos formations RGPD pour en savoir plus

Pour plus d’informations sur les violations de données sous le RGPD, inscrivez-vous à nos formations d’introduction et de spécialisation au RGPD.

Disponible sur Paris les 18 septembre et 6 novembre et Lyon le 16 octobre.

S’inscrire à la formation

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.