Site Internet ou données piratées ?
Toutes les entreprises ou entités manipulant des informations personnelles sont tenues de prendre des dispositions afin d’empêcher toute violation de données et de réagir de manière adéquate en cas d’incident. Les directives imposées par le RGPD ont pour objectif d’empêcher que de telles violations entraînent des dommages tant pour les entités que pour les personnes concernées.
Qu’est-ce qu’une violation de données personnelles ?
A partir du moment où vous récupérez ou enregistrez certaines de ces informations qui sont :
- Nominatives (Nom, Prénom, adresse email et/ou postale, n° de téléphone, date de naissance, etc.)
- Des copies de carte d’identité, passeport, carte de sécurité sociale, permis de conduire, visa, carte de travail ou tous types de documents de la sorte.
En fait, tout type d’information qui permettent d’identifier une personne, c’est que vous avez mis en œuvre un traitement de données personnelles.
A partir de ce constat, vous êtes dans l’obligation de déclarer toutes violations de données, c’est-à-dire le vol, l’exfiltration, détention non autorisée de ces données par un tier suite à une Cyberattaque. C’est une obligation.
Aussi cet impératif vous oblige à en informer les personnes qui sont concernés, et c’est normal !
Que faire en cas de violation ?
Dans tous les cas, vous devez documenter l’incident en déterminant :
- Le type de la violation (perte, vol, exfiltration) ;
- Les catégories et le nombre approximatif de personnes concernées ;
- Le type de données concernées ;
- Expliquer les conséquences probables de la violation de données ;
- Décrire les mesures que vous avez prises ou que vous envisagez de prendre pour corriger cet incident et éviter que cela se reproduise.
Si la violation fait suite à une cyberattaque, vous devez déposer plainte au commissariat de police ou à la gendarmerie la plus proche et de tenir à disposition des enquêteurs tous les éléments de preuves techniques en votre possession.
Voir l’article : « Comment déposer plainte après une Cyberattaque »
Quel est votre délai pour notifier la CNIL ?
Vous devez déclarer cette violation à la CNIL dans les 72h à la suite de la constatation
Si vous ne pouvez pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, vous pouvez procéder à une notification en deux temps :
- Une notification initiale dans un délai de 72 heures si possible à la suite de la constatation de la violation ;
- Si le délai de 72 heures est dépassé, vous devrez expliquer, lors de votre notification, les motifs du retard ;
Enfin, une notification complémentaire dès lors que les informations complémentaires sont disponibles.
Comment notifier ?
Il est possible d’obtenir un document préparatoire afin de vous permettre d’anticiper toutes les informations qui vous seront demandées et qui reprend les étapes de la démarche officielle.
A noter :
Il est fortement conseillé d’anticiper votre déclaration par la préparation via ce document.
Je peux vous aider à cela en vous accompagnant dans cette démarche, n’hésitez pas à me contacter !
