Article: La violation de données personnelles

La règlementation européenne impose qu’en cas de faille de sécurité impliquant une violation de données personnelles, le responsable de traitement et le sous-traitant doivent adapter leurs process afin d’en informer les personnes concernées.

En cas de violation de données personnelles (ex. destruction, perte, altération, divulgation ou accès non autorisé à des données), toute organisation doit disposer des procédures adéquates pour détecter, rapporter et analyser toute violation de données.

L’art. 33 du RGPD prévoit qu’en cas de violation de données à caractère personnel, le responsable de traitement devra notifier cette dernière à l’autorité de contrôle compétente (la CNIL) « dans les meilleurs délais et si possible 72 heures au plus tard après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

L’art. 34 du RGPD prévoit que « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable de traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».

En cas de non-conformité à ces obligations, les amendes administratives peuvent s’élever jusqu’à 10 millions € ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial.

Dans le cadre de l’évolution d’Actecil Privacy Manager (APM) vers le règlement européen, Actecil y a intégré la notion de violation de données. A partir de mercredi il sera ainsi possible de lister les violations de données et les mesures prises.


accueil Blog Actu-CIL