Protocole en cas de fuite de données
Protocole en cas de fuite de données
1er juin 2018
On appelle « fuite de données » toute «
atteinte à la protection des données à caractère personnel ». Une telle fuite de données peut être définie comme une violation de la sécurité des données à caractère personnel qui entraîne un risque ou des conséquences négatives graves pour la ou les personnes concernées et/ou le responsable du traitement. Une fuite de données peut avoir des conséquences majeures pour la ou les personnes concernées, notamment la perte de contrôle de leurs données personnelles, la restriction de leurs droits, la discrimination, le vol d'identité ou des pertes financières. Il est donc important que toute fuite de données soit traitée en temps utile et de manière appropriée. La protection des intérêts de la ou des personnes concernées et l'élimination de la cause de la fuite de données sont considérées comme une priorité par Storax SA.
Protocole
Storax prendra dès lors les mesures suivantes :
- Signaler la fuite de données dès que possible – et au plus tard dans les 72 heures – à l'autorité de protection des données (Autoriteit Persoonsgegevens) et, le cas échéant et selon les circonstances, à la ou aux personnes concernées.
- N.-B. :
- selon le manuel du Règlement général sur la protection des données publié par le ministère néerlandais de la Justice et de la Sécurité - Toute fuite de données doit-elle être signalée à l'autorité de protection des données (Autoriteit Persoonsgegevens) ? « Oui. En principe, toute fuite de données doit être signalée à l'autorité de protection des données (Autoriteit Persoonsgegevens). Seules les fuites de données pour lesquelles il est improbable que la violation présente un risque pour les droits et libertés des personnes physiques sont exemptées de l'obligation de notification. »- Chaque fuite de données doit-elle être signalée à la ou aux personnes concernées ? « Si vous avez établi que la violation de données personnelles présente un risque élevé pour les personnes concernées, vous devez également leur notifier qu'une violation de leur données personnelles a eu lieu. Vous n'êtes pas tenu d'informer la personne concernée si : - vous avez pris des mesures de protection techniques et organisationnelles appropriées, par exemple sous la forme d'un cryptage des données ; - vous avez pris ultérieurement des mesures qui ont supprimé les risques identifiés pour les personnes concernées ; - la notification des personnes concernées impliquerait un effort disproportionné de votre part. Dans ce cas, une annonce publique est suffisante, par exemple en publiant sur votre site Web les informations requises au titre du paragraphe 5.9.5. » - « Si vous n'avez pas informé les personnes concernées et que l'Autorité estime que cela doit être fait, elle peut utiliser ses pouvoirs de coercition. »
- S'il n'est pas possible d'effectuer ladite notification dans les 72 heures, Storax émettra un avis de retard et fournira un maximum d'informations.
- Les tâches et responsabilités du délégué à la protection des données (DPD) ont été assignées dans leur globalité au Key Account Manager (KAM). La Direction et le KAM doivent être immédiatement informés et consultés en cas de fuite de données ou de tout autre incident.
- Storax fera tout son possible pour enquêter sur la fuite de données et prendra toutes les mesures nécessaires pour en éliminer la cause et en minimiser les conséquences.
- Storax fournira à l'autorité de protection des données (Autoriteit Persoonsgegevens) les données suivantes :
- la date à laquelle la fuite de données s'est produite ; si aucune date (exacte) n'est connue : la période au cours de laquelle la fuite de données s'est produite ;
- la date à laquelle Storax en a eu connaissance ; si aucune date (exacte) n'est connue : la période au cours de laquelle la fuite de données s'est produite ;
- la nature, l'étendue et – si possible – la cause de la violation ;
- si possible, les catégories de personnes concernées, les enregistrements de données à caractère personnel concernés et, approximativement, le nombre de personnes concernées et d'enregistrements de données à caractère personnel concernés ;
- le cas échéant : une description du fait que, et de la mesure dans laquelle, les données ont été cryptées, hachées ou rendues inintelligibles ou inaccessibles d'une autre manière ;
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact où des informations supplémentaires peuvent être obtenues ;
- les conséquences probables de la violation des données personnelles ;
- les mesures que Storax propose ou a l'intention de prendre pour remédier à la violation des données personnelles, y compris, le cas échéant, les mesures visant à atténuer tout effet négatif.
- Si Storax informe la ou les personnes concernées, cette notification devra contenir les éléments suivants :
- une description de la nature de la violation ;le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact où des informations supplémentaires peuvent être obtenues ;
- l'impact probable de la violation sur les personnes concernées ;
- les mesures que Storax propose ou entend prendre pour remédier à la violation, y compris les mesures visant à limiter toute conséquence négative.
- Storax enregistrera tous les données et faits (pertinents) relatifs à la fuite des données et les conséquences qui en découlent, ainsi que la manière dont la documentation relative à la violation des données doit être traitée au sein de Storax. Cette obligation dans le chef de Storax en tant que responsable du traitement sert également à permettre le contrôle du processus et des activités.
- des mesures visant à empêcher que la fuite de données (en question) se reproduise.
Tout ceci en se référant au manuel du «
Règlement général sur la protection des données et à la loi d'exécution du Règlement général sur la protection des données
», notamment au paragraphe «
5.9
Quelle est l'obligation de notifier une violation de données personnelles ? » La Haye, 8 janvier 2018, Ministère néerlandais de la Justice et de la Sécurité
www.rijksoverheid.nl/avg