RGPD - Que faire en cas d'incident de sécurité ?

Il arrive parfois que, en dépit des précautions prises, les données personnelles soient, de façon accidentelle ou illicite, détruites, perdues, altérées ou divulguées où qu’un tiers non autorisé y ait accès. Que faire dans ces cas là ?
13:0720/04/2018
Rédigé par FFB Nationale

L’adhérent FFB doit, en principe, en sa qualité de responsable de traitement, notifier la violation des données à la CNIL.

Il n’est pas nécessaire de procéder à la notification si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques (par exemple : les données n’ont pas un degré important de sensibilité ou sont illisibles en raison de la mise en place d’un procédé de cryptage).

 

Par contre, il faudra enregistrer la violation dans un registre dédié.

 

Que doit contenir la notification ?

 

Le document doit ainsi contenir :

  • la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • les conséquences probables de la violation des données personnelles ;
  • les mesures prises ou que l’adhérent FFB propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

 

Il peut arriver que les informations détaillées ci-dessus ne soient pas toutes disponibles au moment de la notification, c’est pourquoi le RGPD autorise à échelonner dans le temps la fourniture des informations requises.

 

Il faudra également documenter, dans un registre dédié, toute violation des données à caractère personnel, en décrivant les faits et les mesures qui ont été prises afin de permettre à la CNIL de vérifier que l’adhérent FFB a bien respecté ses obligations.

Existe-t-il un modèle de notification ?

 

Oui. La CNIL prévoit déjà un modèle de notification

Existe-t-il un modèle de registre des failles de sécurité ?

 

Non. Cependant, il n’est pas à exclure que la CNIL propose prochainement ce type d’outil.

 

Faut-il informer les personnes concernées par les données violées ?

 

Oui, sauf si :

  • la violation ne présente pas un risque élevé pour les droits et libertés de la personne physique (par exemple : les données ne sont pas sensibles ou ont été cryptées) ;

OU

  • l’adhérent FFB a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données personnelles affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès (par exemple : chiffrement) ;

OU

  • l’adhérent FFB a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ;

OU

  • l’information individuelle des personnes concernées exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

 

Dans les cas où les personnes concernées devraient être informées, il faudra au moins fournir, dans un langage clair et simple, les renseignements suivants :

  • nom et coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • conséquences probables de la violation des données personnelles ;
  • mesures prises ou à prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

 

La CNIL peut forcer l’intéressé à procéder à l’information des personnes concernées.

 

Quid du sous-traitant ?

 

L’obligation de notification à la CNIL ou d’information des personnes concernées s’imposant au responsable de traitement, le sous-traitant n’a pas à s’en charger. Cependant, il lui incombera d’informer le responsable de traitement s’il a été victime d’une violation des données et d’aider ce dernier à accomplir ses obligations de notification ou information.

En résumé

 

Application de la procédure interne applicable en cas d’incident :

  • identifier et corriger la faille de sécurité sur le plan technique (au besoin, s’adresser au sous-traitant) ;
  • conserver des renseignements sur la faille de sécurité ;
  • porter plainte (notamment en cas d’attaque informatique) ;
  • déclarer le sinistre à l’assureur ;
  • notifier la violation, le cas échéant, à la CNIL ;
  • informer, le cas échéant, les personnes concernées (si besoin est, privilégier des supports de communication de type « communiqué de presse »).

 

Enregistrement de l’incident dans le registre interne des failles de sécurité.

Contenu réservé aux adhérents FFB

  • Profitez aussi de conseils et de soutien

    Des services de qualité, de proximité, avec des experts du Bâtiment qui connaissent vos enjeux métier et vous accompagnent dans votre quotidien d'entrepreneur.

  • Intégrez un réseau de 50 000 entreprises

    La FFB est fière de représenter toutes les entreprises du bâtiment, les 2/3 de nos adhérent(e)s sont des entreprises artisanales.

  • Bénéficiez des dernières informations

    Recevez Bâtiment actualité 2 fois par mois pour anticiper et formez-vous aux évolutions des métiers ou de la législation.

Pour contacter facilement votre fédération et accéder aux prochaines réunions
Vous n'êtes pas adhérent et vous cherchez une information ?