RGPD L'article 33 traite de l'obligation d'une organisation d'informer l'autorité légale ou réglementaire compétente lorsque les droits et libertés d'un individu ont été mis en danger, en raison de ses actions (ou des actions d'un tiers partenaire) en tant que responsable du traitement des données.
Notification d’une violation de données personnelles à l’autorité de contrôle
- En cas de violation des données à caractère personnel, le responsable du traitement notifie la violation de données à caractère personnel à l'autorité de contrôle compétente conformément à l'article 72, dans les meilleurs délais et si possible, au plus tard X heures après l'avoir eu connaissance. La violation de données à caractère personnel ne devrait pas entraîner de risque pour les droits et libertés des personnes physiques. Si la notification à l'autorité de surveillance n'est pas faite dans les heures 55, elle doit être accompagnée des raisons du retard.
- Le sous-traitant doit informer le responsable du traitement sans délai injustifié après avoir pris connaissance d'une violation de données à caractère personnel.
- La notification visée au paragraphe 1 doit au moins :
- Décrire la nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;
- Communiquer le nom et les coordonnées du délégué à la protection des données ou de tout autre point de contact où de plus amples informations peuvent être obtenues ;
- Décrire les conséquences probables de la violation des données personnelles ;
- Décrire les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs.
- Lorsque et dans la mesure où il n'est pas possible de fournir les informations en même temps, celles-ci peuvent être fournies par étapes, sans autre retard injustifié.
- Le responsable du traitement documente toute violation de données personnelles, comprenant les faits relatifs à la violation de données personnelles, ses effets et les mesures correctives prises. Cette documentation permet à l'autorité de contrôle de vérifier le respect du présent article.
Notification d'une violation de données personnelles au commissaire
- En cas de violation de données personnelles, le responsable du traitement doit, sans délai injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance, notifier la violation de données personnelles au commissaire, à moins qu'il soit peu probable que la violation de données personnelles entraîner un risque pour les droits et libertés des personnes physiques. Si la notification prévue au présent paragraphe n'est pas effectuée dans un délai de 72 heures, elle sera accompagnée des raisons du retard.
- Le sous-traitant doit informer le responsable du traitement sans délai injustifié après avoir pris connaissance d'une violation de données à caractère personnel.
- La notification visée au paragraphe 1 doit au moins :
- Décrire la nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;
- Communiquer le nom et les coordonnées du délégué à la protection des données ou de tout autre point de contact où de plus amples informations peuvent être obtenues ;
- Décrire les conséquences probables de la violation des données personnelles ;
- Décrire les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs.
- Lorsque et dans la mesure où il n'est pas possible de fournir les informations en même temps, celles-ci peuvent être fournies par étapes, sans autre retard injustifié.
- Le responsable du traitement documente toute violation de données personnelles, comprenant les faits relatifs à la violation de données personnelles, ses effets et les mesures correctives prises. Cette documentation permet au commissaire de vérifier le respect du présent article.
Réservez une conversation de 30 minutes avec nous et nous vous montrerons comment
En plus de documenter minutieusement tous les événements entourant une violation, les organisations doivent prendre en compte six facteurs déterminants lorsque vous agissez suite à une violation de données :
Lors de la notification à l'autorité de contrôle, les organisations doivent :
Afin de créer une politique de gestion des incidents cohérente et hautement fonctionnelle qui protège la disponibilité et l'intégrité des informations confidentielles lors d'incidents critiques, les organisations doivent :
Le personnel impliqué dans des incidents de sécurité des informations confidentielles doit comprendre :
Lorsqu’il traite des événements liés à la sécurité des informations confidentielles, le personnel doit :
Les activités de reporting doivent être centrées autour de 4 domaines clés :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Les organisations doivent s'assurer que les incidents de sécurité des informations confidentielles sont traités par une équipe technique dédiée possédant les compétences et les ressources nécessaires pour parvenir à une résolution rapide (voir ISO 27002 Contrôle 5.24).
Les organisations devraient :
Article RGPD | Article ISO 27701 | Contrôles ISO 27002 |
---|---|---|
Articles 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) et 34 (4) du RGPD de l'UE. | ISO 27701 6.13.1.1 | ISO 27002 5.25 ISO 27002 5.26 ISO 27002 5.5 ISO 27002 5.6 ISO 27002 6.8 ISO 27002 8.15 ISO 27002 8.16 |
Articles 34 (1) et 34 (2) du RGPD de l’UE | ISO 27701 6.13.1.5 | ISO 27002 5.24 ISO 27002 5.27 ISO 27002 5.28 ISO 27002 5.29 ISO 27002 5.30 |
Une violation du RGPD peut entraîner des amendes importantes, ce qui en fait l'une des réglementations en matière de confidentialité et de sécurité les plus strictes au monde. En conséquence, cela implique que les organisations doivent protéger les données personnelles dans une mesure « raisonnable ».
Mais voici la bonne nouvelle.
Dans un emplacement sécurisé et toujours disponible, ISMS.online vous permet de passer facilement à la conformité au RGPD et de démontrer un niveau de protection qui va au-delà du « raisonnable ».
Nous faisons du mappage de données une tâche simple. En ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement, vous pouvez facilement tout enregistrer et consulter.
Si le pire arrive, vous serez prêt.
Grâce à nos outils, vous pouvez planifier, communiquer, documenter et tirer des leçons de chaque violation.
En savoir plus par réserver une courte démo de 30 minutes.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides