Comment gérer une violation de données ?

Le 26 septembre dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) publiait sur son site internet un article « Diffusion de données piratées à la suite d’un cyberattaque : quels sont les risques et les précautions à prendre ? ».

Les chiffres clés :

%

De notifications de violations de données en 2021 par rapport à 2020 (5037 en 2021

Notifications de violations résultant d’une attaque par rançongiciel reçues en 2021, soit 43% du volume total

%

Des sanctions prononcées par la CNIL visent des manquements à l’obligation de sécurité des données !

En effet, si en 2021 l’autorité administrative indépendante avait fait de la cybersécurité l’une de ses 3 thématiques prioritaires de contrôle, cela n’exclut aucunement le sujet pour l’année en cours et celles à venir.

Mais alors, qu’est-ce qu’une violation de donnée au sens de la règlementation ? 

  • Intégrité : par exemple, une personne malveillante qui entrerait dans votre système d’informations afin de modifier les données d’évaluation que vous détenez sur vos salariés.
  • Confidentialité : par exemple, la perte d’une clé USB contenant la base clients de votre structure.
  • Disponibilité : par exemple, la destruction de l’ensemble de vos données (non sauvegardées ailleurs) après un incendie ou une inondation.

Que faire en cas de violation de données ?

Lorsqu’un organisme, responsable de traitement, constate une violation de données au sein de son entité, il doit en apprécier le degré de gravité. Cette appréciation se fait alors au cas par cas, en s’appuyant par exemple sur le type et nature de la violation ; le type de personnes concernées (salariés ; clients ; patients ; etc.) ou encore les catégories de données faisant l’objet de cette violation (données d’identité ? Données sensibles ? Informations d’ordre économique et bancaire ?).

Selon l’évaluation du risque, le responsable de traitement aura alors l’obligation de recenser cette violation au sein de son registre interne des violations de données ; de notifier la violation à la CNIL dans un délai de 72 heures ou encore d’en informer les personnes concernées dans les meilleurs délais.

Gérer une violation de données avec l’Agence RGPD :

L’Agence RGPD vous forme à la gestion d’une violation de données ! Formation de 7 heures menée par un DPO certifié en présentiel comme en distanciel, les objectifs de la formation sont les suivants :

  • Comprendre et connaître les dispositions relatives à la gestion des violations de données dans le cadre du RGPD ;
  • Connaître les différentes sources de violations de données et savoir les repérer ;
  • Savoir déterminer la gravité du risque et savoir réagir en conséquence.

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»