Comment gérer une violation de données ?

Le 26 septembre dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) publiait sur son site internet un article « Diffusion de données piratées à la suite d’un cyberattaque : quels sont les risques et les précautions à prendre ? ».

Les chiffres clés :

%

De notifications de violations de données en 2021 par rapport à 2020 (5037 en 2021

Notifications de violations résultant d’une attaque par rançongiciel reçues en 2021, soit 43% du volume total

%

Des sanctions prononcées par la CNIL visent des manquements à l’obligation de sécurité des données !

En effet, si en 2021 l’autorité administrative indépendante avait fait de la cybersécurité l’une de ses 3 thématiques prioritaires de contrôle, cela n’exclut aucunement le sujet pour l’année en cours et celles à venir.

Mais alors, qu’est-ce qu’une violation de donnée au sens de la règlementation ? 

  • Intégrité : par exemple, une personne malveillante qui entrerait dans votre système d’informations afin de modifier les données d’évaluation que vous détenez sur vos salariés.
  • Confidentialité : par exemple, la perte d’une clé USB contenant la base clients de votre structure.
  • Disponibilité : par exemple, la destruction de l’ensemble de vos données (non sauvegardées ailleurs) après un incendie ou une inondation.

Que faire en cas de violation de données ?

Lorsqu’un organisme, responsable de traitement, constate une violation de données au sein de son entité, il doit en apprécier le degré de gravité. Cette appréciation se fait alors au cas par cas, en s’appuyant par exemple sur le type et nature de la violation ; le type de personnes concernées (salariés ; clients ; patients ; etc.) ou encore les catégories de données faisant l’objet de cette violation (données d’identité ? Données sensibles ? Informations d’ordre économique et bancaire ?).

Selon l’évaluation du risque, le responsable de traitement aura alors l’obligation de recenser cette violation au sein de son registre interne des violations de données ; de notifier la violation à la CNIL dans un délai de 72 heures ou encore d’en informer les personnes concernées dans les meilleurs délais.

Gérer une violation de données avec l’Agence RGPD :

L’Agence RGPD vous forme à la gestion d’une violation de données ! Formation de 7 heures menée par un DPO certifié en présentiel comme en distanciel, les objectifs de la formation sont les suivants :

  • Comprendre et connaître les dispositions relatives à la gestion des violations de données dans le cadre du RGPD ;
  • Connaître les différentes sources de violations de données et savoir les repérer ;
  • Savoir déterminer la gravité du risque et savoir réagir en conséquence.
Quelles durées de conservation appliquer dans le cadre de la prospection ?

Données des clients utilisées à des fins de prospection commerciale :

  • Jusqu’à l’exercice du droit d’opposition ou le retrait du consentement ;

OU, au plus tard

  • En base active, le temps de la relation commerciale ;
  • En archivage intermédiaire pour une durée maximale de 3 ans à compter de la fin de la relation commerciale.

 

Données de prospect non-client :

  • Jusqu’à l’exercice du droit d’opposition ou le retrait du consentement ;

OU, au plus tard

  • Pendant 3 ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (ex : demande de documentation, clic sur un lien hypertexte contenu dans un courriel de prospection). La simple ouverture d’un mail ne devrait pas être considérée comme un contact émanant du prospect.
  • Au terme de ce délai, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive, il conviendra de supprimer les données.
Les données publiquement accessibles sur le web peuvent-elles être utilisées à des fins de prospection commerciale ?

Si les données à caractère personnel sont librement accessibles, elles ne sont pour autant pas librement réutilisables à des fins de prospection. Autrement dit, le responsable de traitement qui entend « aspirer » des données publiques afin de les réutiliser pour ses opérations de prospection, doit se poser plusieurs questions :

  • Quelle est la base légale mobilisable pour cette opération de collecte ? 
  • Quelles sont les attentes raisonnables des personnes concernées ? 

Cas pratique : une personne publie sur un site de ventes entre particulier, une annonce, incluant son numéro de téléphone. La CNIL a considéré que le consentement de la personne concernée était requis.

Bien sûr, la personne concernée devra être informée de cette collecte indirecte, dans les conditions prévues par l’article 14 du RGPD.

Enfin, la transmission des données personnelles à des partenaires à des fins de prospection est également encadrée au sein d’un référentiel publié par la CNIL le 3 février 2022 relatif au traitements de données mis en œuvre aux fins de gestion des activités commerciales

Vite, j’accède au référentiel publié par la CNIL.

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»