Violations de données

Qu'est-ce qu'une violation de données ?

L’article 4.12) du RGPD définit une violation de données à caractère personnel comme

une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Exemples :

• suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ;

• perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ;

• introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.

Les obligations des responsables du traitement concernant les violations de données personnelles, et notamment leur notification à la CNIL et aux personnes concernées, sont définies aux articles 33 et 34 du RGPD.

Quelles obligations pour les entreprises ?

Le RGPD introduit des notifications de violation de données personnelles.

Une violation de données personnelles est une violation de la sécurité qui provoque accidentellement ou illégalement la destruction, la perte, la falsification, la divulgation non autorisée de données personnelles transmises, stockées ou autrement traitées, l'accès non autorisé à ces données qui, si elles ne sont pas correctement affectées en cas de violation de données personnelles , et à moins que la violation ne soit pas susceptible de créer un risque pour les droits et la liberté des personnes, le responsable du traitement a l'obligation de:

• Signaler dans les 72 heures la violation en question à l'autorité locale de protection des données

• Informer au plus vite toutes les personnes concernées par la violation de données (clients, prospects, collaborateurs, ...)

Toute violation de cette obligation est sanctionnée par les autorités de protection des données.

Pour aller plus loin