webleads-tracker

Pharma Compliance Info CNIL | Notifier une violation de données personnelles Data Protection

CNIL | Notifier une violation de données personnelles

Le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.

Qu’est-ce qu’une violation de données à caractère personnel ?

Pour qu’il y ait violation, 2 conditions doivent être réunies :

  1. Vous avez mis en œuvre un traitement de données personnelles.
  2. Ces données ont fait l’objet d’une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite).

Que faire en cas de violation ?

Dans tous les cas, vous devez documenter en interne l’incident en déterminant :

  • la nature de la violation
  • si possible, les catégories et le nombre approximatif de personnes concernées par la violation
  • les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
  • décrire les conséquences probables de la violation de données ;
  • décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

Le document récapitulatif de votre notification à la CNIL permet de répondre à l’obligation de documentation interne.

Si l’incident constitue un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNIL.

En cas de risque élevé, vous devez également notifier les personnes concernées.

En cas de doute, notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.

Dans quel délai notifier ?

La notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.

Si vous ne pouvez pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, vous pouvez procéder à une notification en deux temps :

  1. Une notification initiale dans les meilleurs délais à la suite de la constatation de la violation ;
  2. Puis, une notification complémentaire dans le délai de 72 heures si possible après la notification initiale.
  3. Si le délai de 72 heures est dépassé, il conviendra d’expliquer, lors de votre notification, les motifs du retard.

Pour démarrer une notification à la CNIL

Check Also

Pharma Compliance Info LEEM | RGPD : le règlement général sur la protection des données Data Protection

LEEM | RGPD : le règlement général sur la protection des données

Le RGPD entrera en vigueur le 25 mai prochain. Quels sont les grands principes de …

X