Suite à une recrudescence des cyberattaques ces derniers temps, nous souhaitons vous faire un rappel des règles en matière de violation de données en faisant également la distinction entre responsable de traitement et en tant que sous-traitant car les actions à mettre en place sont différentes.

Pour rappel, une violation de données peut être tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles. Exemple : piratage informatique, piratage de logiciel, piratage de serveur, perte de clé USB, envoi d’un e-mail à un mauvais destinataire, perte de PC, etc…

vous devez obligatoirement notifier à la CNIL la violation de données dès lors que celle-ci présente un risque pour les personnes concernées (salariés, clients, administrés, usagers, etc…). En tant que DPO, nous vous accompagnons dans l’évaluation des risques afin de vous préciser s’il est nécessaire, ou non, de réaliser une notification auprès de la CNIL. Nous vous accompagnerons également dans la réalisation de la notification auprès de la CNIL.

Pour réaliser au mieux la notification auprès de la CNIL, vous devez réunir toutes les informations nécessaires concernant l’incident de sécurité afin de permettre à votre DPO de prendre les mesures adéquates. Si le risque est élevé, vous devrez, en plus de la notification à la CNIL, informer les personnes concernées de l’incident de sécurité et des impacts potentiels sur leurs droits et libertés. En tant que DPO, nous vous accompagnons dans la rédaction du courrier à adresser aux personnes concernées.  

Si vous ne disposez pas de toutes les informations pour notifier, ce n’est rien ! Nous pouvons effectuer une notification initiale avec les quelques éléments que vous aurez en votre possession en attendant le complément d’information. Nous viendrons ensuite compléter cette notification initiale par une notification complémentaire auprès de la CNIL.

l’obligation de réaliser la notification incombe au responsable de traitement. Par conséquent, vous n’êtes pas dans l’obligation de notifier auprès de la CNIL la violation de données si celle-ci s’est réalisée dans le cadre de la sous-traitance. Vous devez en revanche, prévoir une notice d’information permettant au responsable de traitement de réaliser la notification auprès de la CNIL. En effet, vous devez communiquer au responsable de traitement suffisamment d’éléments lui permettant de respecter son obligation. En tant que DPO, nous vous accompagnons dans la rédaction de cette notice d’information.

Nous vous rappelons que vous disposez d’un délai de 72 heures à partir du moment où vous en avez connaissance pour notifier la CNIL.

Soyez vigilants, la CNIL n’hésite pas à sanctionner les manquements à l’obligation de notifier ou encore à l’absence de sécurité. Toutes l’équipe des consultantes est à votre disposition, n’hésitez pas à nous consulter en cas de doutes !