Comprendre l'article 34 du RGPD : quand et comment informer les personnes des violations de données
GDPR L'article 34 décrit l'obligation d'une organisation d'informer les personnes concernées d'une violation de données, susceptible d'entraîner un risque important pour leurs droits et libertés en tant qu'individus.
Article 34 du RGPD Texte juridique
Version RGPD de l'UE
Communication d'une violation de données personnelles à la personne concernée
- Lorsque la violation de données à caractère personnel est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
- La communication à la personne concernée visée au paragraphe 1 du présent article décrit en langage clair et simple la nature de la violation des données à caractère personnel et contient au moins les informations et les mesures visées aux points (b), (c) et (d). ) de l'article 33, paragraphe 3.
- La communication à la personne concernée visée au paragraphe 1 n'est pas requise si l'une des conditions suivantes est remplie :
- (a) le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées, et ces mesures ont été appliquées aux données personnelles concernées par la violation de données personnelles, en particulier celles qui rendent les données personnelles inintelligibles pour toute personne qui n'est pas autorisée à y accéder, comme le cryptage.
- (b) le responsable du traitement a pris des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser.
- (c) cela impliquerait des efforts disproportionnés. Dans un tel cas, il y aura plutôt une communication publique ou une mesure similaire par laquelle les personnes concernées seront informées de manière tout aussi efficace.
- Si le responsable du traitement n'a pas encore informé la personne concernée de la violation des données à caractère personnel, l'autorité de contrôle, après avoir examiné la probabilité que la violation des données à caractère personnel entraîne un risque élevé, peut l'obliger à le faire ou décider que l'une des conditions mentionnées au paragraphe 3 sont remplies.
Version du RGPD au Royaume-Uni
Communication d'une violation de données personnelles à la personne concernée
- Lorsque la violation de données à caractère personnel est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
- La communication à la personne concernée visée au paragraphe 1 du présent article décrit en langage clair et simple la nature de la violation des données à caractère personnel et contient au moins les informations et les mesures visées aux points (b), (c) et (d). ) de l'article 33, paragraphe 3.
- La communication à la personne concernée visée au paragraphe 1 n'est pas requise si l'une des conditions suivantes est remplie :
- (a) le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées, et ces mesures ont été appliquées aux données personnelles concernées par la violation de données personnelles, en particulier celles qui rendent les données personnelles inintelligibles pour toute personne qui n'est pas autorisée à y accéder, comme le cryptage.
- (b) le responsable du traitement a pris des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser.
- (c) cela impliquerait des efforts disproportionnés. Dans un tel cas, il y aura plutôt une communication publique ou une mesure similaire par laquelle les personnes concernées seront informées de manière tout aussi efficace.
- Si le responsable du traitement n'a pas encore informé la personne concernée de la violation des données à caractère personnel, le commissaire, après avoir examiné la probabilité que la violation des données à caractère personnel entraîne un risque élevé, peut lui demander de le faire ou décider que l'une des conditions mentionnées au paragraphe 3 sont remplies.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Commentaire technique
L’article 34 du RGPD précise que toutes les violations ne doivent pas être communiquées aux personnes concernées. Toutefois, les organisations devraient communiquer les détails d’une violation lorsqu’elle est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques.
L’article 34 décrit trois domaines principaux sur lesquels se concentrer lors de la communication d’une violation de données :
- La langue utilisée.
- Les détails spécifiques qui sont communiqués.
- Comment s'effectue la communication.
Les contrôleurs ne sont pas obligés de communiquer une violation dans les trois scénarios suivants :
- L'organisation a mis en place des « mesures de protection techniques et organisationnelles appropriées ».
- Il faut des « mesures ultérieures » pour atténuer la violation.
- Communiquer la violation exigerait un effort disproportionné.
ISO 27701 Clause 6.13.1.1 (Responsabilités et procédures) et article 34 du RGPD
Dans cette section, nous parlons des articles 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) et 34(4) du RGPD.
Afin de créer une politique de gestion des incidents cohérente et hautement fonctionnelle qui protège la disponibilité et l'intégrité des informations confidentielles lors d'incidents critiques, les organisations doivent :
- Adhérez à une méthode de signalement des événements de sécurité des informations confidentielles.
- Établissez une série de processus qui gèrent les incidents liés à la sécurité des informations confidentielles dans l’ensemble de l’entreprise, notamment :
- Administration.
- Documentation.
- Détection.
- Triage.
- Priorisation.
- Analyse.
- Communication.
- Rédigez une procédure de réponse aux incidents qui permet à l’organisation d’évaluer les incidents, d’y répondre et d’en tirer des leçons.
- Veiller à ce que les incidents soient gérés par un personnel formé et compétent qui bénéficie de programmes continus de formation et de certification sur le lieu de travail.
Le personnel impliqué dans des incidents de sécurité des informations confidentielles doit comprendre :
- Le temps qu'il faudrait pour résoudre un incident.
- Toutes les conséquences potentielles.
- La gravité de l'incident.
Lorsqu’il traite des événements liés à la sécurité des informations confidentielles, le personnel doit :
- Évaluer les événements conformément à des critères stricts qui les valident comme incidents approuvés.
- Classez les événements liés à la sécurité des informations confidentielles en 5 sous-thèmes :
- Surveillance (voir ISO 27002 Contrôles 8.15 et 8.16).
- Détection (voir ISO 27002 Contrôle 8.16).
- Classification (voir ISO 27002 Contrôle 5.25).
- Analyse.
- Reporting (voir ISO 27002 Contrôle 6.8).
- Lors de la résolution d’incidents de sécurité des informations confidentielles, les organisations doivent :
- Répondre et faire remonter les problèmes (voir ISO 27002 Contrôle 5.26) en fonction du type d'incident.
- Activer les plans de gestion de crise et de continuité d’activité.
- Effectuer une reprise gérée après un incident qui atténue les dommages opérationnels et/ou financiers.
- Assurer une communication approfondie des événements liés à l’incident à tout le personnel concerné.
- Participez au travail collaboratif (voir ISO 27002 Contrôles 5.5 et 5.6).
- Enregistrez toutes les activités basées sur la gestion des incidents.
- Être responsable du traitement des preuves liées à l'incident (voir ISO 27002 Contrôle 5.28).
- Entreprendre une analyse approfondie des causes profondes, afin de minimiser le risque que l'incident se reproduise, y compris des suggestions de modifications à apporter à tous les processus.
Les activités de reporting doivent être centrées autour de 4 domaines clés :
- Actions qui doivent être prises lorsqu’un événement de sécurité des informations se produit.
- Formulaires d'incident qui enregistrent les informations tout au long d'un incident.
- Processus de feedback de bout en bout à tout le personnel concerné.
- Les rapports d'incident détaillent ce qui s'est passé une fois l'incident résolu.
Prise en charge des contrôles ISO 27002
- ISO 27002 5.25
- ISO 27002 5.26
- ISO 27002 5.5
- ISO 27002 5.6
- ISO 27002 6.8
- ISO 27002 8.15
- ISO 27002 8.16
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Clause 27701 de la norme ISO 6.13.1.5 (Réponse aux incidents de sécurité de l'information) et article 34 du RGPD
Dans cette section, nous parlons des articles 34 (2) et 34 (1) du RGPD.
Les organisations doivent s'assurer que les incidents de sécurité des informations confidentielles sont traités par une équipe technique dédiée possédant les compétences et les ressources nécessaires pour parvenir à une résolution rapide (voir ISO 27002 Contrôle 5.24).
Les organisations devraient :
- Contenir toutes les menaces liées à la vie privée découlant du problème d'origine.
- Recueillez un ensemble de preuves tout au long du processus de résolution.
- Incluez l’escalade, les activités BUDR et la planification de la continuité dans tout effort de résolution (voir ISO 27002 Contrôles 5.29 et 5.30).
- Enregistrez toutes les activités liées aux incidents.
- Veiller à ce que le personnel fonctionne selon le principe du « besoin de savoir » lorsqu'il traite des incidents relatifs aux informations confidentielles.
- Soyez continuellement attentif à leurs responsabilités envers leurs clients et les organisations externes, lors de la communication d’incidents relatifs aux informations confidentielles et de violations de données.
- Clôturez les incidents selon un ensemble rigide de critères de résolution.
- Entreprendre une analyse médico-légale (voir ISO 27002 Contrôle 5.28), selon les besoins.
- Chercher à établir la cause sous-jacente d'un incident, une fois qu'il a été résolu (voir ISO 27002 Contrôle 5.27).
- Prendre des mesures correctives sur tous les processus, contrôles, politiques et procédures associés, afin de renforcer la protection de la vie privée de l'organisation une fois qu'un incident a été résolu.
Prise en charge des contrôles ISO 27002
- ISO 27002 5.24
- ISO 27002 5.27
- ISO 27002 5.28
- ISO 27002 5.29
- ISO 27002 5.30
Prise en charge des clauses ISO 27701 et des contrôles ISO 27002
| Article RGPD | Article ISO 27701 | Contrôles ISO 27002 |
|---|---|---|
| RGPD de l'UE, articles 34 (1) à 34 (4) | ISO 27701 6.13.1.1 |
5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
| Articles 34 (2) et 34 (1) du RGPD de l’UE | ISO 27701 6.13.1.5 |
5.24 5.27 5.28 5.29 5.30 |
Comment l'aide d'ISMS.online
Grâce à des conseils intégrés et à notre approche de mise en œuvre « Adopter, Adapt, Add », ISMS.online facilite la démonstration de la conformité au RGPD. Une gamme de fonctionnalités puissantes permettant de gagner du temps sera également à votre disposition.
Grâce à notre plateforme intuitive, vous pouvez atteindre plusieurs objectifs de sécurité et de confidentialité des informations en cartographiant votre travail selon plusieurs normes et cadres.
Si vous avez besoin d'aide ou de conseils pendant votre démarche vers le RGPD, nous pouvons mettre à votre disposition notre équipe d'experts internes ou vous recommander un partenaire de confiance qui peut vous aider.
En savoir plus par réserver une démo.
