Pensez à mettre vos procédures à jour !

Au mois de septembre 2019 la Commission Nationale pour la Protection des Données (la « CNPD ») a mis à jour son formulaire de notification de violation des données dans le but de faciliter le travail des responsables de traitement.

Le formulaire est accessible en cliquant ici et est à envoyer à : databreach@cnpd.lu

Vous pouvez utiliser la clé publique gpg pour sécuriser la transmission des informations en les chiffrant (accessible en cliquant sur le lien ou sur le site internet de la CNPD).

En cas de violation de données à caractère personnel, le responsable du traitement de l’organisation doit notifier la violation à la CNPD dans un délai de 72 heures après en avoir pris connaissance si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il conviendra en outre d’informer celles-ci dans les meilleurs délais.

L’erreur humaine

Saviez-vous que selon le rapport 2018 de la CNPD, la cause principale à 57 % des violations de données est l’erreur humaine ? Et que la plupart des erreurs humaines se produisent lorsqu’une procédure existante n’est pas suivie, lorsqu’une règle de sécurité existante est contournée, lorsque le personnel n’est pas assez sensibilisé aux règles de confidentialité à appliquer ou encore suite à une erreur d’inattention : dépendant du contexte, la mise en place d’un mécanisme de contrôle avant transmission des données aurait permis d’éviter ce type d’incident.

Source : Rapport annuel 2018 de la CNPD

Il est donc essentiel de sensibiliser et former son personnel ainsi que d’avoir une procédure à suivre en cas de violation pour savoir comment réagir en cas de violation des données et déterminer qui aura la responsabilité en interne de faire le suivi, notamment pour éviter de dépasser les délais.

Le registre des violations

Toute violation de données personnelles doit être documentée par le responsable du traitement quel que soit le niveau de risque pour les droits et libertés des personnes concernées. Veillez à rester attentif sur ce point qui est un élément facile à vérifier en cas de contrôle.

Rappel : Qu’est-ce qu’une violation de données à caractère personnel ?

Une violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération ou la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Les violations de données peuvent être catégorisées selon les trois principes bien connus de la sécurité de l’information :

  • Violation de confidentialité : en cas de divulgation ou d’accès non autorisé ou accidentel à des données à caractère personnel ;
  • Violation de disponibilité : en cas de perte ou de destruction accidentelle ou non autorisée de données à caractère personnel ;
  • Violation d’intégrité : en cas de modification accidentelle ou non autorisée de données à caractère personnel.

Dépendant des circonstances, une violation peut concerner la confidentialité, l’intégrité et la disponibilité au même moment, ainsi que toute combinaison de ces 3 principes.


Site internet de la Commission nationale pour la protection des données

Notre équipe Digital est à votre disposition pour vous accompagner la mise à jour de vos procédures concernant la RGPD.