Lignes directrices du G29 sur la notification de violation de données personnelles Le G29 poursuit son travail de clarification du RGPD en vue de son application en mai 2018.

Le sujet de la notification des violations de données personnelles n’est pas totalement nouveau puisque cette obligation, qui s’appliquera à tous, existe déjà pour les sociétés de communication. Cependant ce travail a le mérite de rappeler ou d’approfondir certains points importants.

1. Les points important à retenir

En dehors de la notification à l’autorité et de la communication aux personnes concernées proprement dites le G29 apporte une position importante sur les points suivants :
 

  • La définition de la violation de données à caractère personnelle et ce qui la distingue d’une simple faille de sécurité. Il est important de rappeler, car il y a souvent confusion sur ce point que les violations portent non seulement sur l’accès ou la divulgation non autorisés ou accidentelle, mais aussi sur la destruction, la perte, l’altération de données personnelles.
  • Le moment à compter duquel démarre le délai de 72 heures pour notifier la violation à l’autorité de contrôle (à savoir, le moment à partir duquel le responsable de traitement est réputé « en avoir pris connaissance »)
  • Le nouveau rôle et les nouvelles obligations du sous-traitant
  • Les sanctions qui si elles sont « limitées » au seuil de €10 millions ou 2% du CA mondial, peuvent être aggravées si les autorités décident de sanctionner en tant que tels, des manquements aux obligations de sécurité qu’une violation de données peut aussi révéler.

2. Le plan du document

Le chapitre I aborde la définition de violation de données personnelles dans le cadre du RGPD, y compris ;

  • Les types de violations de données personnelles
  • Les conséquences possibles d’une violation des données personnelles

 
Le chapitre II explique les dispositions spécifiques s’appliquant à la notification à l’autorité de contrôle (Article 33)

  • Quand notifier 
    • Quand est-ce qu’un responsable de traitement est réputé « en avoir pris connaissance » ?
    • Obligations du sous-traitant
  • Quelles informations donner et   
    • Une notification faite de « manière échelonnée »
    • Une notification différée
  • Une violation affectant des personnes dans plus d’un Etat membre
  • Conditions dans lesquelles la notification n’est pas nécessaire

Le chapitre III explique les dispositions spécifiques s’appliquant à la communication aux personnes concernées (Article 34) 

  • Les informations à fournir
  • Comment contacter les individus
  • Conditions dans lesquelles la communication n’est pas nécessaire y compris la question des « efforts disproportionnés »

 
Le chapitre IV traite de la question de l’évaluation du « risque » et du « risque élevé »

  • Une approche par le « risque » comme déclencheur de l’obligation de notification et communication
  • Les facteurs à prendre en compte lors de l’évaluation du risque

Le chapitre V traite de l’importance de pouvoir démontrer le respect de la règlementation (notion de « responsabilité » ou en anglais « accountability » article 5 (2))

  • L’exigence d’une documentation sur les violations , même si son contenu n’est pas précisé par le RGPD
  • Rôle du délégué à la protection des données (DPO)

 
Le chapitre VI rappelle qu’il y a aussi des obligations de notification en vertu d’autres reglementations
 
Les Annexes comprennent

  • Un diagramme des cas et processus de notification
  • Des exemples de violations de données personnelles et qui notifier ou informer

Il est possible de présenter des commentaires auprès du G29 sur ce document jusqu’au 28 novembre 2017.
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083&utm_source=POLITICO.EU&utm_campaign=ca202dfca6-EMAIL_CAMPAIGN_2017_10_17

 

L’expérience dont nous bénéficions déjà en Europe sur ce type d’incidents est significativement renforcée par le travail de nos spécialistes aux Etats-Unis, où ce type de réglementation existe depuis de nombreuses années.  
N’hésitez pas à faire appel à notre équipe internationale de « Protection des Données personnelles et Cybersécurité » pour mettre en place un plan de gestion des violations de données personnelles ou pour gérer une violation quand elle survient.

  Contact : stephanie.faber@squirepb.com