La gestion d’une violation de données personnelles

donnees-personnelles

Le Règlement Général sur la Protection des Données souhaite responsabiliser les professionnels traitant de données à caractère personnel. Ainsi, ils doivent se soucier de la sécurité de ces données en pratiquant leurs activités.

Actuellement, des entreprises connues à l’international comme les grands établissements hôteliers, les services postaux ou encore les réseaux sociaux, ne parviennent pas à assurer la sécurité optimale des données qu’elles traitent, ce qui a de nombreuses conséquences. Suivant cette logique, la CNIL a été notifiée un millier de fois en 2018 concernant des violations. 724 de ces notifications ont eu lieu après la mise en application du RGPD le 25 mai de la même année. Les personnes concernées s’élevaient alors à plusieurs millions.

Ainsi, il est essentiel de mettre en place un processus organisationnel pour faire face aux incidents de sécurité, quels qu’ils soient. Un encadrement et une structuration s’imposent depuis l’identification, jusqu’à la suppression de la menace.

Identifier la violation de données et évaluer les risques

Une procédure de gestion en interne ne fonctionne que si l’entreprise fait face à une violation de données. Il s’agit d’une atteinte à la sécurité des données, causant illégalement la perte, la destruction, la modification et la divulgation de données à caractère personnel, n’ayant pas été autorisées. La faille de sécurité peut aussi bien être physique, logique ou organisationnelle. L’évaluation conformité rgpd s’impose ainsi pour constater les risques pour les personnes concernées.

La faille de sécurité

Elle indique plusieurs choses, comme l’inefficacité des mesures en place dans le système d’information ou tout simplement l’inexistence de mesures techniques et organisationnelles imposées par le RGPD.

Comment identifier la violation de données ?

Elle doit être bien faite si l’entreprise souhaite instaurer le dispositif requis par la règlementation en vigueur. Si l’incident de sécurité ne concerne pas des données à caractère personnel, l’entreprise n’a pas à appliquer le RGPD. Pour rester en conformité, les entreprises peuvent engager un dpo rgpd.

L’étude du risque

Elle a lieu après l’identification de la violation de données. L’étude du risque permet de mesurer l’impact de la violation en question sur les personnes physiques concernées. Pour ce faire, l’entreprise sera tenue de :

  • Déterminer le type de violation
  • Connaître le degré d’atteinte sur les données personnelles
  • Définir le nombre de personnes potentiellement concernées
  • Déterminer le secteur d’activités de l’entreprise
  • Définir la nature de l’impact.

Grâce à ces points d’orientation, l’entreprise pourra plus facilement connaître la nature de la violation et définir une procédure menant à la bonne gestion de la violation de données personnelles.

Instaurer une procédure de gestion des violations

Le but est de définir un cadre pour établir la façon de contenir, manager et remédier à la violation de données à caractère personnel. S’il y a gestion processuelle de violation, c’est qu’il existe un système de gouvernance représenté par un « comité de crise » pour une très grande entité ou un groupe de postes compétents dans une plus petite entreprise. Ce groupe inclue toutes les compétences nécessaires qui simplifieront l’organisation à adopter en cas de violation, ainsi que son évaluation dans ses différents versants.

Par la suite, il sera plus simple de mettre en place un processus interne dédié au traitement de la violation et qui comporte un plan d’action. Ce dernier définira les rôles et actions de tous les acteurs en cas de violation, ainsi que les tâches à mettre en œuvre en conséquence.

Caractère du processus

Il doit être stable dans le temps et inclure assez d’acteurs. Cette stabilité doit être diffusée en interne pour véhiculer une culture de la sécurité des données. Cela inclue la formation des collaborateurs à la thématique.

La documentation de la violation des données en interne et externe

Documenter la violation de données se fait à deux niveaux :

Premièrement, en interne, il est question de tout consigner dans un registre. Ainsi, en cas d’incidents, il convient de décrire les faits, les effets de la violation et les mesures prises pour y remédier, dans ce registre.

Aujourd’hui, les violations de données personnelles doivent être notifiées à l’autorité de contrôle, ainsi qu’aux personnes concernées par le traitement. L’autorité de contrôle doit être notifiée dans les 72h suivant la prise de connaissance de l’incident, mais uniquement si les droits et libertés des personnes concernées sont menacés. Un processus doit donc être établi pour permettre au responsable de traitement d’agir rapidement. S’il ne peut respecter ce délai défini, il devra justifier de motifs impérieux.

Pour mieux exécuter la notification, la CNIL fournit un formulaire comportant les mentions requises. Quant aux personnes concernées, elles doivent être notifiées dans les plus brefs délais, avec la même condition.

Toutefois, la règlementation offre une marge de manœuvre, avec possibilité de ne pas notifier la violation dans les cas suivants :

  • Le responsable de traitement a mis en œuvre des solutions qui permettront d’éviter le même type de violation.
  • Des mesures spécifiques sont prises sur les données concernées par la violation.

Le DPO doit intervenir dans l’étude des risques en interne et être le centre de contact de la CNIL et des personnes concernées. Il joue un rôle important dans le déroulement du procédé et contrôle la marche à adopter par les parties prenantes.