MODULE DE VIOLATION DE DONNEES

NOTIFICATION

 

QUAND Y A-T-IL UNE NOTIFICATION À FAIRE?

L'obligation de déclaration à l'égard de l'Autorité s'applique s'il existe un "risque d'atteinte aux droits et libertés de la personne concernée". Par exemple, cela peut impliquer une perte de confidentialité de la communication, ce qui entraîne la visualisation temporaire d'informations de données de facturation, d'adresses, etc. par des tiers.

Vous avez également l'obligation de communiquer la violation de données à la personne concernée si le risque est grand. Il existe différentes méthodes pour estimer les risques élevés pour les personnes impliquées.

En ce qui concerne l'obligation de notification dans le secteur des télécommunications, des règles similaires s'appliquent au niveau belge et européen en plus de l'RGPD.

 

QUI DEVRAIT RAPPORTER À L’AUTORITÉ?

Le rapport doit être établi par le responsable de traitement ou par le sous-traitant si le responsable de traitement a passé des accords écrits explicites avec le sous-traiteur.

La notification permet à l'Autorité d'évaluer le risque de fuite de données avec le responsable du traitement des données ainsi que de faire des recommandations sur la manière de réduire le risque pour la personne concernée, le respect des règles juridiques en matière de traitement des données et leur sécurité. Un autre avantage d'un tel rapport est qu'il oblige le responsable du traitement à réfléchir à la manière dont il organise et protège ses traitements de données, maintenant et à l'avenir.

 

DANS QUEL TEMPS?

La période de notification en dehors du secteur des télécommunications est au maximum 72 heures après le constat de la fuite de données. Si, dans un premier temps, le responsable du traitement ne dispose pas d'informations suffisantes pour enquêter sur la nature du problème, il peut faire un premier rapport et, après enquête, le compléter avec un rapport supplémentaire.

A QUI?

Dans tous les cas, la notification est adressée à l'Autorité. En outre, dans certains cas, une notification doit être adressée aux personnes concernées, c'est-à-dire aux personnes dont les données ont été divulguées.

 

COMMENT NOTIFICATION A L'AUTORITE?

Par souci de simplicité, la notification à l'Autorité dans et en dehors du secteur des télécommunications s'effectue via un formulaire Web via (pour la Belgique): https://www.gegevensbeschermingsautoriteit.be/meldformulier-voor-gegevenslekken

 

COMMENT LA NOTIFICATION DEVRA-T-ELLE ARRIVER AUX PERSONNES CONCERNÉES?

Le responsable du traitement signale la fuite de données aux personnes concernées avec des moyens de communication garantissant une réception rapide des informations. S'il est impossible d'identifier les personnes affectées, le responsable du traitement peut informer ces personnes par le biais des médias, bien qu'il continue d'essayer de connaître l'identité de ces personnes afin qu'elles puissent également les informer individuellement.

La notification aux personnes impliquées est rédigée dans un langage clair et facile à comprendre. L'Autorité recommande de fournir au moins les informations suivantes:

  1. La nature du problème

  2. Une brève description des données concernées

  3. Une brève description des mesures prises par le responsable du traitement pour remédier au problème

  4. Les conséquences possibles de la fuite de données pour les personnes impliquées,

  5. Coordonnées d'un point de contact où des informations supplémentaires peuvent être obtenues (par exemple, les coordonnées du Data Protection Officer ou le délégué à la protection des données).

 

DANS QUELS CAS LA VIOLATION DE DONNÉES  NE DOIT-ELLE PAS ÊTRE COMMUNIQUÉE AUX PARTIES CONCERNÉES?

Le RGPD doit toujours être impliqué dans toute affaire concernant la protection des données à caractère personnel. En cas de doute, le délégué à la protection de données doit donc être consulté .

 

DANS QUELS CAS LA FUITE DE DONNÉES NE DOIT-ELLE PAS ÊTRE COMMUNIQUÉE À L'AUTORITÉ?

Outre les circonstances indiquant que la violation de données n'affectera pas la vie privée ou les données à caractère personnel des personnes impliquées, il existe deux autres cas dans lesquels le responsable du traitement n'a pas à informer l'Autorité de la violation de données:

  • lorsque le responsable du traitement a démontré que les données étaient cryptées ou protégées d'une autre manière, de sorte que les tiers susceptibles de l'entendre soient incompréhensibles. La clé pour casser la sécurité ne doit bien sûr pas être divulguée;

  • lorsque les personnes impliquées ont été immédiatement informées de l'ampleur et des conséquences de la violation de données ET que seul un groupe restreint de personnes (environ 100) ont été touchées ET qu'aucune donnée sensible (données médicales, données sur la religion, l'orientation sexuelle, racistes ou ethniques) ou des données financières (par exemple la combinaison du nom d’une personne avec son numéro de compte ou de carte bancaire) sont impliqués dans la fuite de données.

 

En cas de doute, la personne responsable devrait faire une notification à l'Autorité.

 

ENREGISTREMENT DE TOUT INCIDENT

Même si le responsable du traitement ne signale pas la fuite de données à l'Autorité, il est préférable de conserver un journal des incidents. Celui-ci doit contenir une brève description de chaque violation de données et une explication pour ne pas le signaler.

Un module de violation des données a été inclus dans l’application GDPR MASTERS afin que l’enregistrement des incidents et des violations de données soit enregistré. Une procédure de violation de données est également crée après avoir fait un inventaire des activités de traitement.