Violation de données

Qu’est-ce qu’une violation de données dans le cadre du RGPD ?

Une violation de données peut provenir de sources diverses et intervenir à tout moment. Elle peut résulter d’une attaque informatique (par exemple un ransomware/rançongiciel) ou de la perte de matériel informatique (par exemple d’un ordinateur, d’une clef USB, etc.).

Quelle que soit la source, la violation de données se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles. Elle a comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données impliquées.

Comment protéger les données face aux menaces potentielles ?

Pour prévenir ces violations, il faut répondre à l’obligation de sécurité imposée par le RGPD. Il faut prendre des mesures proportionnées aux risques encourus. Ces mesures peuvent être détaillées dans votre politique interne de gestion des données personnelles. Vous pouvez par exemple mettre en œuvre les mesures suivantes :

  • Commencez par sensibiliser vos équipes aux enjeux de la sécurité des données
  • Sécurisez votre système d’information (par exemple : changer régulièrement les mots de passe de chaque session informatique, réalisez des sauvegardes régulières, réglementez l’accès aux locaux, etc.)
  • Mettez en place un système d’authentification sûr et cloisonnez l’accès aux données en fonction des habilitations de chacun
  • Rédigez une procédure à suivre en cas d’identification d’une violation de données afin d’assurer la traçabilité de l’incident et une gestion efficace
  • Sécurisez votre site internet
  • Assurez-vous que vos sous-traitants mettent en place des mesures de sécurité suffisantes et qu’ils vous notifieront et vous assisteront en cas de violation de données

La CNIL a produit un guide de la sécurité des données personnelles pour vous aider. Vous pouvez également consulter notre webinaire du 21 septembre 2021 au sujet des enjeux des mesures techniques et organisationnelles en matière de sécurité informatique.

La réponse au sondage « En cas de risque élevé, quel est le délai de notification d’une violation de données à la CNIL ?

À l’occasion d’un sondage réalisé le 1 février dernier sur notre page LinkedIn, nous vous avons demandé quel est le délai de notification d’une violation de données à la CNIL, en cas de risque élevé.

Vous avez été fort ! Sur 282 votants, 64% d’entre vous ont voté « 72 heures ».

Comment réagir fasse à une violation de données ?

Lorsque vous identifiez une violation de données, vous devez agir rapidement pour limiter les dommages. En cas de risque, le délais de notification auprès de la CNIL est de 72h, à compter de la constatation de la violation. Mais si ce délai est dépassé, vous devrez jusitifer ce retard auprès de la CNIL.

Tenir un registre d’incidents vous permet de répondre à votre obligation d’accountability, selon laquelle vous devez documenter tous les éléments relatifs à votre conformité.Avec Mission RGPD vous pouvez tenir simplement votre registre d’incidents. Déclarez votre incident et évaluez sa gravité. Le logiciel vous guidera dans l’évaluation du risque. En fonction de sa gravité, vous saurez si vous devez en plus de la mention au registre :

  • Prévenir uniquement la CNIL dans les 72h de votre connaissance de la violation.

Ou

  • Prévenir la CNIL ainsi que les personnes concernées

Mission RGPD et les violations de données

Avec Mission RGPD vous pouvez tenir simplement votre registre d’incidents. Déclarez votre incident et évaluez sa gravité. Le logiciel vous guidera dans l’évaluation du risque. En fonction de sa gravité, vous saurez si vous devez en plus de la mention au registre prévenir uniquement la CNIL dans les 72h de votre connaissance de la violation. Ou si vous devez également prévenir les personnes concernées.  

Ne perdez plus de temps, c’est si simple !

Author

Marie Gossiôme

Juriste junior Protection des Données Personnelles chez Mission RGPD

Votre diagnostic RGPD en 5 min 🚀

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD et les recommandations de nos experts.