Suite à l’augmentation d’incidents par rapport à des vols de données, voici un rappel des actions à entreprendre en cas de vol.
Les obligations des responsables du traitement concernant les violations de données personnelles, et notamment leur notification à l’APD (Autorité de Protection des données) et aux personnes concernées, sont prévues dans le RGPD.
En cas de perte ou de vol de données, vous avez 72 heures après la découverte de ce vol ou de cette perte pour prévenir l’Autorité de Protection des Données.
Le signalement d’une fuite de données à l’Autorité de Protection des Données n’est pas toujours obligatoire. Un signalement n’est obligatoire que lorsqu’il est probable que la violation engendre un risque pour les droits et libertés de personnes physiques.
Par ailleurs, l’entreprise doit signaler la violation à la personne concernée lorsque celle-ci court un risque élevé de violation de ses droits fondamentaux.
Une analyse des risques doit précéder la notification de la fuite de données :
• La fuite de données peut-elle entraîner un vol d’identité, une perte financière ou un préjudice d’image pour les personnes concernées ?
• Les risques de dommage matériel ou physique sont-ils réels ? …
En outre, il faut consigner dans un registre toutes les fuites de données survenant au sein de l’organisation. Dans ce registre, le responsable du traitement des données à caractère personnel décrira en détail la fuite en indiquant les causes, les conséquences et les mesures prises.
Dans votre dossier RGPD constitué au moyen de l’application gdprfolder.eu, ce registre est prévu avec la possibilité de télécharger les rapports d’incident que vous aurez complété après chaque incident, même si vous ne l’avez pas communiqué à l’APD. Il est important de garder trace de ces incidents en cas de problèmes éventuels.
Si vous disposez de données sensibles (notamment des données de santé) je vous recommande de prévenir dès que possible l’Autorité de Protection des Données en cas d’incident.
La notification d’une fuite de données à l’Autorité de protection des données se fait au moyen d’un formulaire électronique qui, après avoir été complété, est transmis via un portail Internet. Attention, les formulaires qui sont transmis par e-mail ne sont pas traités.
Enfin, en cas d’incident, si vous avez souscrit une assurance Cyber et si celle-ci offre également un service d’assistance, n’oubliez pas de prévenir votre compagnie d’assurance ou votre courtier pour déclarer le sinistre dès que possible.
Contactez-moi si vous avez besoin d’assistance !
Commentaires récents