Violation des données

Qu’est-ce qu’une violation de données à caractère personnel ?

Une violation de données à caractère personnel peut être :

• Une destruction de données : quand les données n’existent plus ou ne sont plus utilisables.
• Une perte de données : lorsque le responsable du traitement ne les possède plus ou ne peut plus y accéder.
• Une altération de données : si les données ont été modifiées, corrompues ou ne sont plus complètes.
• Un accès non autorisé aux données : par exemple la divulgation auprès de personnes non autorisées.

Que doit-on faire si on constate une violation de données ?

En cas de violation de données personnelles, la collectivité est tenue d'informer la CNIL dans les meilleurs délais “ au plus tard 72h ” et sous certaines conditions, les personnes concernées comme indiqué dans les questions suivantes (3 et 4).
La collectivité doit dans tous les cas documenter cette violation de données à caractère personnel dans le registre de violation en indiquant :

• La nature de la violation ;
• Les catégories et le nombre approximatif des personnes concernées ;
• Les catégories et le nombre approximatif de fichiers concernés ;
• Les conséquences probables de la violation ;
• Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
• Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Vous pouvez signaler et documenter toute violation de données sur Super Chef depuis la page : https://rgpd-registre.ternum-bfc.fr/violation
Le registre de violation et le document récapitulatif de la notification à la CNIL permet de répondre à l’obligation de documentation interne.
En cas de risque élevé, vous devez également notifier les personnes concernées et en cas de doute, notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.

A qui doit-on signaler une violation de données ?

D’après la CNIL, tous les organismes qui traitent des données personnelles doivent mettre en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d’incident. Cette violation doit être signalée auprès de la CNIL sous un délai de 72 h maximum après en avoir pris connaissance, sinon elle doit être accompagnée d’un motif de retard.
Lorsqu’une violation de données menace les droits et les libertés des individus, vous devez également informer la personne concernée sauf si vous avez mis en place des mesures qui rendent les données incompréhensibles (comme le chiffrement), ou des mesures qui neutralisent le risque.

Doit-on signaler une violation aux personnes concernées dans tous les cas ?

Non, le responsable de traitement a l’obligation de communiquer une violation de données aux personnes concernées si la violation entraîne un risque élevé, pour les droits et libertés de la personne et cela dans les meilleurs délais.
Cette communication n’est pas nécessaire si l’une des conditions prévues par l’article 34 du RGPD est remplie.

Combien de temps avons-nous pour déclarer une violation des données à la CNIL ?

Vous avez 72 heures à partir de la prise de connaissance de la faille pour en informer la CNIL, sinon la déclaration doit être accompagnée d’un motif de retard.