Pour faire face à une violation de données à caractère personnel, le responsable du traitement doit d’abord être en mesure de reconnaître la violation.

Une violation de la sécurité au sens du RGPD est une violation entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d’une autre manière, ou l’accès à celles-ci, de manière accidentelle ou illicite.

Seuls les événements conduisant à une destruction, une perte, une altération, une divulgation ou un accès non autorisé à des données personnelles, de manière accidentelle ou illégale, sont couverts par la définition de la violation de données personnelles du RGPD.

Par exemple, une violation des données personnelles peut se produire lorsque le logiciel du responsable du traitement n’est pas suffisamment sécurisé pour permettre à des personnes extérieures d’accéder aux données personnelles (par exemple, en cas de piratage).

Toutefois, le traitement des données à caractère personnel par le responsable du traitement lui-même peut également être à l’origine d’une violation, par exemple si le responsable du traitement divulgue ou modifie les données à caractère personnel sans autorisation.

Autre exemple, le responsable du traitement peut aussi, de manière illicite ou à la suite d’un événement imprévu (par exemple, un incendie ou une inondation), ne pas avoir accès aux données à caractère personnel ou finir par les détruire.

Exemples de violations de données personnelles :

1. Des personnes autres que le(s) responsable du traitement(s) autorisé(s) responsable du traitement ont un accès (non autorisé) aux données à caractère personnel. Il peut s’agir de personnes extérieures ou intérieures à l’organisation du responsable du traitement.
2. Les employés du responsable du traitement modifient ou suppriment accidentellement des données personnelles.
3. Des personnes non autorisées peuvent avoir accès à des données personnelles – par exemple, le numéro d’identification national, les détails de la carte de crédit, etc.
4. Les employés peuvent, à leur insu ou en connaissance de cause, transmettre les données personnelles d’un citoyen/client à un autre citoyen/client – voire à plusieurs autres personnes concernées.
5. L’absence de cryptage du site web du responsable du traitement, par exemple un login client, pourrait permettre à une ou plusieurs personnes non autorisées d’accéder directement aux données du client.

Lorsqu’une violation n’est pas traitée de manière appropriée et en temps utile, elle peut causer des dommages physiques, matériels ou immatériels à des personnes, par ex.

• une perte de contrôle de leurs données ou une restriction de leurs droits,
• discrimination,
• le vol d’identité ou la fraude,
• perte financière,
• la suppression non autorisée de la pseudonymisation,
• l’atteinte à la réputation,
• la perte de la confidentialité d’informations couvertes par le secret professionnel.

En général, il faut signaler toute violation de données personnelles à l’autorité de protection des données. Aucune notification n’est requise s’il est peu probable que la violation des données à caractère personnel risque de porter atteinte aux droits ou aux libertés des personnes physiques.

Un risque pour les droits et libertés des personnes physiques comprend :

• La discrimination.
• Vol d’identité ou fraude.
• Perte financière.
• Atteinte à la réputation.
• Perte de la confidentialité des données ou tout autre désavantage économique ou social important pour la personne concernée.

Le responsable du traitement doit évaluer la probabilité que la violation présente un risque pour les droits des personnes concernées, immédiatement après avoir pris connaissance de la violation.

Il faut toujours prendre en compte les facteurs suivants dans l’évaluation du risque pour les droits et libertés des personnes concernées résultant d’une violation des données personnelles :

• Le type de violation de la sécurité, notamment s’il y a eu une perte de données, une violation de la confidentialité ou une violation de l’intégrité ;
• La nature et l’étendue des données ;
• Le risque que les personnes concernées puissent être identifiées ;
• Conséquences que la violation peut avoir sur les personnes concernées ;
• Si la violation concerne des personnes spécifiques (par exemple, si des enfants ou des personnes vulnérables) ;
• le nombre de personnes physiques concernées ;

Le responsable du traitement doit documenter toutes les violations de données à caractère personnel, y compris les faits relatifs à la violation de données à caractère personnel, ses effets et les mesures correctives prises.

Dans ce contexte, il est indifférent que le responsable du traitement soit obligé de notifier la violation à l’autorité chargée de la protection des données.

Cette obligation de documentation vise à permettre à l’autorité de protection des données de vérifier si l’obligation de notifier certaines violations a été respectée.

La documentation doit contenir des informations sur la violation,

y compris les faits relatifs à la violation, ses effets et les mesures correctives.

mesures. Les exigences en matière de documentation peuvent également être les suivantes.

• Date et heure de la violation
• Que s’est-il passé pendant la violation ?
• Quelle est la cause de la violation ?
• Quels (types de) données personnelles sont concernées par la violation ?
• Quelles sont les conséquences de la violation pour les personnes concernées ?
• Quelles mesures correctives ont été prises ?
• Avez-vous informé l’autorité de protection des données ?