Orientations en matière de protection des données – Question 11
Que faire en cas de violation de données à caractère personnel?
S’applique au scénario 2, sauf en ce qui concerne l’utilisation du service d’échange de fichiers de la Commission
Par violation de données à caractère personnel, on entend une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées, ou l’accès non autorisé à ces données.
Notification d'une violation de données à caractère personnel
En cas de violation de données à caractère personnel, le/la représentant(e) du groupe d'organisateurs notifie la violation en question à l’autorité chargée de la protection des données dans les meilleurs délais et, en principe, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
La notification doit comporter au minimum:
- une description de la violation de données, y compris le nombre de signataires concernés et les catégories de données concernées;
- le nom et les coordonnées du délégué à la protection des données (ou d’un autre point de contact pertinent);
- les conséquences probables de la violation de données, après examen; et
- toute mesure prise par le responsable du traitement pour remédier à la violation ou l’atténuer.
S’il n’est pas possible de fournir ces informations en même temps, elles peuvent être fournies en plusieurs fois, dans les meilleurs délais.
Le/la représentant(e) doit également consigner les faits, leurs effets et les mesures déjà prises pour y remédier (ou les mesures à prendre d’urgence, en indiquant dans quels délais).
Risques pour les droits et les libertés
En outre, s'il est probable que la violation engendre un risque élevé pour les droits et les libertés des signataires, ceux-ci doivent en être informés, sauf lorsque:
- les mesures mises en œuvre (comme le cryptage, à condition que la clé ne soit pas compromise) ont rendu les données inintelligibles ou garantissent que les risques ne sont plus susceptibles de se matérialiser; ou
- la communication individuelle aux signataires nécessiterait des efforts disproportionnés. Dans ce cas, les signataires peuvent être informés au moyen d'une notification publique de la violation.
IMPORTANT:
En cas de traitement de données dans le cadre d’un contrôle conjoint avec la Commission, et sauf si la violation de données est imputable au comportement des membres du groupe d’organisateurs, les obligations susmentionnées sont remplies par la Commission. Le groupe d’organisateurs doit aider, si nécessaire et dans la mesure du possible, la Commission à gérer les violations de données à caractère personnel.
Références:
- Articles 33 et 34 du RGPD
- FAQ de la Commission sur la protection des données – «Qu’est-ce qu’une violation de données et que faire dans ce cas?»