LA VIOLATION DES DONNÉES PERSONNELLES, TOUS CONCERNÉS !

violation des données personnelles

A la lumière des récents développements en matière de violations de données à caractère personnel, et notamment de l’augmentation des sanctions relatives à une mauvaise gestion des violations de données à caractère personnel, le Comité Européen de la Protection des données (l’EDPB) a publié des lignes directrices ayant pour but de fournir des orientations pratiques sur comment réagir à une violation de données et sur l’obligation de notification à l’autorité de contrôle compétente ; en Belgique, l’Autorité de Protection des Données.

GESTION D’UNE VIOLATION DE DONNÉES

Le Règlement Général sur la Protection des Données (« RGPD ») défini une violation de données à caractère personnel comme « une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière ». (Article 4.12 GDPR)

L’EDPB recommande d’analyser une violation de données en trois étapes :  

1. Analyse préalable de la situation et des risques.

Le responsable du traitement (celui qui détermine les finalités et moyens du traitement des données) doit prendre en compte les éléments spécifiques de la violation telles que le type de données, le nombre de personnes impactées et les éventuelles mesures adoptées pour limiter les effets de la violation. Sur cette base, il pourra conclure si la violation est susceptible de résulter en une atteinte aux droits des personnes concernées par la violation.

2.  Adoption de mesures visant à prévenir et limiter l’impact de la violation.

Des mesures peuvent être adoptées préalablement à la survenance d’une violation telle que le chiffrement des données, la création de back-ups, ou a posteriori comme l’effacement à distance des données d’un appareil.

3. L’obligation de notification et de documentation de la violation.

Le responsable du traitement doit documenter chaque violation de données, en ce compris les circonstances de la violation, ses effets et les actions prises pour y remédier. Il a aussi l’obligation de notifier une violation de données, dans les meilleurs délais et, si possible, dans les 72 heures de la prise de connaissance de la violation à moins que la violation ne soit pas susceptible d’engendrer un risque pour les personnes concernées. De la même manière, il devra aussi communiquer la violation aux personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

CONSÉQUENCES D’UNE MAUVAISE GESTION

Une mauvaise gestion des violations de données peut avoir un impact terrible sur l'image d’une entreprise et sur la confiance de ses clients.  En effet, les amendes imposées en cas de manquement aux règles applicables en cas de violation de données, peuvent s’élever jusqu’à 10 millions d'euros ou à 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). À titre d'exemple, Twitter a récemment été condamné à une amende de 450 000 euros pour ne pas avoir notifié une violation de données à l'autorité compétente dans les 72 heures. Plus récemment encore, l'autorité polonaise de protection des données a imposé une amende s’élevant à 30,000 EUR pour ne pas avoir notifié une violation de données à caractère personnel.

RECOMMENDATIONS

Chaque organisation devrait adopter une démarche proactive dans sa gestion des données à caractère personnel, mais également dans la gestion des violations de données, notamment, en adoptant des mesures techniques et organisationnelles au sein de l’entreprise (telles que l’implémentation de procédures, manuel, ou processus de rapporting et de gestion en cas de violation de données) et par l’organisation de formations et de campagnes de sensibilisation destinées aux employés.

 

>> Consultez toutes nos offres d'emploi

Retour à la liste