Selon le rapport d’un cabinet d’avocats britannique, le nombre de notifications de violations de données a fortement augmenté en Europe, avec 331 notifications par jour en 2020, soit 19 % de plus qu’en 2019.
Pourquoi cette augmentation ?
Il s’agit d’une obligation du règlement général sur la protection des données (RGPD), qui impose à tout responsable de traitement de notifier à la CNIL toute violation de données à caractère personnel engendrant un risque pour les droits et libertés des personnes concernées.
Mais qu’est-ce qu’une violation de données ?
Une violation de données est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ». (Article 4, §12 du RGPD)
En d’autres termes il s’agit de « tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles ». (cnil.fr)
Par exemple, le vol d’une base de données, sa destruction involontaire ou la perte d’une clé USB non chiffrée et contenant des données personnelles est une violation de données à caractère personnel.
Quelle est la marche à suivre en cas de violation de données ?
Avant toute chose, il faut prévoir une procédure de gestion des violations de données, qui vous permettra de réagir rapidement et connaître la marche à suivre lorsqu’un tel incident se produit.
Une fois la violation de données identifiée, des mesures correctives doivent être prises dans l’immédiat afin d’endiguer l’incident. Dans le même temps, une évaluation de l’incidence de la violation sur les droits et libertés des personnes concernées doit être réalisée. La question à se poser est la suivante : la violation a-t-elle engendré un risque pour les personnes dont les données à caractère personnel ont été touchées par la violation ?µ
Si un risque existe (ex : sentiment d’atteinte à la vie privée), dans ce cas une notification auprès de la CNIL doit être réalisée dans les 72 heures au plus tard. Si le risque est élevé (ex : perte financière importante), il faudra communiquer la violation aux personnes concernées, en plus de la notification à la CNIL.
Dans tous les cas, même lorsque la violation de données ne présente aucun risque pour les droits et libertés des personnes concernées, il faut inscrire la violation dans un registre spécifique en y renseignant les faits concernant la violation de données, ses effets et les mesures prises pour y remédier.
Attention ! La sensibilisation de l’ensemble des collaborateurs est également primordiale. La procédure de gestion des violations de données doit être diffusée à l’ensemble du personnel. L’objectif est que toute personne au sein de l’organisme puisse repérer une violation de données, et alerter au plus vite le responsable de traitement.
Que se passe-t-il si je ne notifie pas à la CNIL ?
L’absence de notification à la CNIL est passible d’une amende administrative pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial.
Ainsi, une violation de données peut avoir de graves conséquences pour l’entreprise (pertes économiques, mauvaise image, etc.) et pour les personnes concernées (vol d’informations personnelles, usurpation d’identité, etc.). Alors soyez prudents et prévoyez une procédure de gestion des violations de données !
Sensibilisez-vous au RGPD | Découvrez nos formations
Liens :
https://www.dlapiper.com/en/uk/insights/publications/2021/01/dla-piper-gdpr-fines-and-data-breach-survey-2021/
