Aller au contenu principal
Drapeau de l'Union européenne
français
Initiative citoyenne européenne

Orientations en matière de protection des données – Question 11

Revenir à la page principale des orientations en matière de protection des données destinées aux organisateurs

 

Orientations en matière de protection des données – Question 11

Que faire en cas de violation de données à caractère personnel?  

S’applique au scénario 2, sauf en ce qui concerne l’utilisation du service d’échange de fichiers de la Commission

Par violation de données à caractère personnel, on entend une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées, ou l’accès non autorisé à ces données.

Notification d'une violation de données à caractère personnel

En cas de violation de données à caractère personnel, le/la représentant(e) du groupe d'organisateurs notifie la violation en question à l’autorité chargée de la protection des données dans les meilleurs délais et, en principe, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

La notification doit comporter au minimum:

  • une description de la violation de données, y compris le nombre de signataires concernés et les catégories de données concernées;
  • le nom et les coordonnées du délégué à la protection des données (ou d’un autre point de contact pertinent);
  • les conséquences probables de la violation de données, après examen; et
  • toute mesure prise par le responsable du traitement pour remédier à la violation ou l’atténuer.

S’il n’est pas possible de fournir ces informations en même temps, elles peuvent être fournies en plusieurs fois, dans les meilleurs délais.

Le/la représentant(e) doit également consigner les faits, leurs effets et les mesures déjà prises pour y remédier (ou les mesures à prendre d’urgence, en indiquant dans quels délais).

Risques pour les droits et les libertés

En outre, s'il est probable que la violation engendre un risque élevé pour les droits et les libertés des signataires, ceux-ci doivent en être informés, sauf lorsque:

  • les mesures mises en œuvre (comme le cryptage, à condition que la clé ne soit pas compromise) ont rendu les données inintelligibles ou garantissent que les risques ne sont plus susceptibles de se matérialiser; ou
  • la communication individuelle aux signataires nécessiterait des efforts disproportionnés. Dans ce cas, les signataires peuvent être informés au moyen d'une notification publique de la violation.

IMPORTANT: 

En cas de traitement de données dans le cadre d’un contrôle conjoint avec la Commission, et sauf si la violation de données est imputable au comportement des membres du groupe d’organisateurs, les obligations susmentionnées sont remplies par la Commission. Le groupe d’organisateurs doit aider, si nécessaire et dans la mesure du possible, la Commission à gérer les violations de données à caractère personnel.

Références:

Vous souhaitez apprendre et collaborer?
Participez au forum