Avoir de bonnes pratiques, protéger les données, sécuriser le stockage et avoir mis en place des procédures déontologiques de protection des données, va limiter les risques de violation des données. Mais il se peut que vous n’ayez pas pensé à tout.

Malgré toutes ces démarches, la violation des données à caractère personnel reste possible.

Ce qui nous amène à la question :

Que dois-je faire en cas de violation de la base qui contient les données à caractère personnel que j’utilise pour mes traitements ?

En cas de violation de votre système de données vous avez 72 heures maximum pour prévenir la CNIL et les personnes concernées.

On entend par les personnes concernées les citoyens dont les données ont été violées.

On entend par violation de données à caractère personnel :

La destruction, la perte ou l’altération non désirée
La divulgation non autorisée de données à caractère personnel
L’accès non autorisé à des données à caractère personnel transmises, conservées ou traitées d’une autre manière.

Oui mais pour pouvoir prévenir la CNIL dans les 72 heures, il faut constater la violation.

Pour les systèmes électroniques, il existe des alertes automatiques, des antivirus, des logs qui vont nous permettre d’être informé rapidement de l’intrusion et de la violation des données.

Pour tous les autres traitements, qui ne sont pas électroniques, la déontologie et les bonnes pratiques sont de mise.

Si je reviens sur l’exemple de l’armoire qui contient l’ensemble des fiches de paye du personnel….Comment se rendre compte d’une violation de données à caractère personnel si l’armoire reste ouverte toute l’année, en accès libre à toutes personnes présentes dans le bureau.

La bonne pratique veut donc que la personne responsable du traitement des fiches de paye prenne conscience qu’il est nécessaire de fermer son armoire à clé dès qu’elle s’absente de son espace de travail (pour aller déjeuner par exemple).

La violation pourra alors être connue par le simple constat de l’effraction de l’armoire.

Que dois-je déclarer en cas de violation des données ?

Si malgré tous les moyens mis en place pour protéger vos données vous êtes victime d’une violation, vous êtes dans l’obligation de déclarer à la CNIL :

La nature de la violation, si possible les catégories et le nombre approximatif de personnes concernées et d’enregistrement de données à caractère personnel concerné.
Le nom de la personne à contacter, (S’il existe, les coordonnées du Data Protection Officer) pour obtenir les informations supplémentaires si nécessaire
Les conséquences probables de la violation
Et les mesures prises ou proposées d’être prises pour remédier à la violation, notamment les mesures pour en atténuer les éventuelles conséquences négatives.

Toutes ces mesures à prendre sont des obligations, toujours dans l’optique de protéger le citoyen européen.

Ne pas se soumettre à ces obligations vous expose à de lourdes sanctions financières.

A voir aussi :