Qu’est-ce qu’une violation de données et que devons-nous faire en cas de violation de données ?
Réponse
Une violation de données se produit lorsque les données dont votre entreprise/organisation est responsable subissent un incident de sécurité entraînant une violation de la confidentialité, de la disponibilité ou de l’intégrité. Si cela se produit, et s’il est probable que la violation présente un risque pour les droits et libertés d’une personne, votre entreprise/organisation doit notifier l’autorité de contrôle sans retard excessif, et au plus tard dans les 72 heures après avoir pris connaissance de la violation. Si votre entreprise/organisation est un processeur de données, elle doit notifier chaque violation de données au responsable du traitement des données.
Si la violation de données présente un risque élevé pour les personnes concernées, alors elles doivent toutes être également informées, à moins que des mesures de protection techniques et organisationnelles efficaces aient été mises en place, ou d’autres mesures garantissant que le risque n’est plus susceptible de se matérialiser.
En tant qu’organisation, il est vital de mettre en œuvre des mesures techniques et organisationnelles appropriées pour éviter d’éventuelles violations de données.
Exemples
L’organisation doit informer le DPA et les personnes
Les données des employés d’une entreprise textile ont été divulguées. Ces données comprenaient les adresses personnelles, la composition de la famille, le salaire mensuel et les demandes de remboursement de frais médicaux de chaque employé. Dans ce cas, l’entreprise textile doit informer l’autorité de contrôle de la violation. Comme les données personnelles comprennent des données sensibles, telles que des données sur la santé, l’entreprise doit également en informer les employés.
Un employé d’hôpital décide de copier les coordonnées des patients sur un CD et les publie en ligne. L’hôpital l’apprend quelques jours plus tard. Dès que l’hôpital l’apprend, il dispose de 72 heures pour informer l’autorité de surveillance et, comme les données personnelles contiennent des informations sensibles telles que le fait qu’un patient ait un cancer, soit enceinte, etc…, il doit également en informer les patients. Dans ce cas, on pourrait se demander si l’hôpital a mis en œuvre des mesures de protection techniques et organisationnelles appropriées. S’il avait effectivement mis en œuvre des mesures de protection appropriées (par exemple en cryptant les données), un risque important serait peu probable et il pourrait être dispensé de notifier les patients.
L’entreprise doit notifier ses clients et ceux-ci peuvent ensuite devoir notifier l’APD et les personnes
Un service de cloud perd plusieurs disques durs contenant des données personnelles appartenant à plusieurs de ses clients. Il doit notifier ces clients dès qu’il a connaissance de la violation. Ses clients doivent notifier l’APD et les individus en fonction des données qui ont été traitées par le responsable du traitement des données.