Alerter sur la divulgation des données – RGPD
Aujourd’hui on va aborder un document que vous devriez fournir à tous vos collaborateurs.
N’oubliez pas qu’avec le RGPD vous avez un délai très court pour signaler la divulgation de données, mais êtes vous certains que tous vos utilisateurs savent comment remonter l’information ?
On verra dans la suite le contenu du document cible, d »environ 5 pages, compréhensible et remplissable par tous.
Je part du principe que vous avez déjà réaliser votre registre des traitements. Cependant, qu’il soit fait ou non ne vous empêchera pas de transmettre le document.
Rien de bien difficile ou exotique dans cet article, tout est tiré de source libre.
Retrouver le document Word ici :
– Onedrive : https://1drv.ms/u/s!ArWJGZnS9KiKgROYkiG3pIDGaj1b?e=IVhAqM
– MEGA: https://mega.nz/file/zE82kBaR#t-3mEDcJ__6D09DKqRGSmu7bmTNjokaEgXZt6zHfst8
1 . Objet
Le présent document a pour objectif d’être transmissible à tous nos partenaires. Il contient toutes les informations pour nous signaler une violation des données à caractère personnel.
2. DEFINITIONS
2.1. Données à caractères personnel
Définition CNIL :
Une donnée à caractère personnel est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. Peu importante que ces informations soient confidentielles ou publiques.
Exemples : nom, photo, empreinte, adresse (postale ou mail), numéro de téléphone, numéro de sécurité sociale, matricule interne, adresse IP, identifiant de connexion informatique, enregistrement vocal, etc.
Pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée.
Exemples : noms masqués, visages floutés, etc.
Attention : s’il est possible, par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou pas l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.
2.2. Données sensibles
Définition CNIL :
Ce sont les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale.
Ce sont également les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Il est interdit de recueillir et d’utiliser ces données. Sauf dans certains cas précis et notamment (article 9 du RGPD) :
– Si la personne concernée a donné son consentement exprès (écrit, clair et explicite) ;
– Si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé ;
– Si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL ;
– Si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
A noter : Les informations relatives aux infractions ou condamnations ne sont pas considérées comme des données sensibles mais elles font l’objet de la même protection. Seules les juridictions et certaines autorités publiques peuvent les utiliser, ainsi que la personne morale victime dans le cadre de la défense de ses intérêts.
2.3. Violation de données
Une violation de données est un incident portant sur des données à caractère personnel ayant subi un traitement imprévu, intentionnel ou non, pouvant compromettre leur intégrité, leur disponibilité ou leur confidentialité.
2.3.1. Altération des données
Lors d’une altération des données (acte criminel, erreur de saisies, etc.) celles-ci ont été modifiées avec des informations erronées et leur intégrité n’est plus garantie.
2.3.2. Pertes des données
Des données peuvent également être avoir été perdues à la suite d’un incident technique (sauvegardes défectueuses, perte d’un périphérique de stockage, etc.)
2.3.3. Vols des données
Des données peuvent être volées à la suite d’un acte de cybercriminalité ou suite à un cambriolage (vol de matériel informatique, perte de matériel).
2.3.4. Divulgation de données
La divulgation de données peut être causée par un outil informatique insuffisamment sécurisé rendant publique des informations qui ne devraient pas l’être.
Exemple : site web mal sécurisé, partage informatique publique, etc.
3. DOCUMENTATION EXTERNE
Je vous invite à consulter :
– le règlement général sur la protection des données notamment les articles 33 (notification à l’autorité de contrôle d’une violation de données à caractère personnel) et 34 (communication à la personne concernée d’une violation de données à caractère personnel).
– Les sanctions prévues.
4. Formulaire
Cette partie est améliorable, si votre registre de traitements est fait vous pouvez par exemple intégrer un menu déroulant plutôt qu’un champ libre.
