Réponse
Une violation de données survient lorsque les données dont votre entreprise/organisation est responsable subissent un incident de sécurité qui entraîne une violation de la confidentialité, de la disponibilité ou de l’intégrité. Dans ce cas, et s’il est probable que la violation engendre un risque pour les droits et libertés d’une personne, votre entreprise/organisation doit notifier l’autorité de contrôle dans les meilleurs délais, et au plus tard 72 heures après avoir pris connaissance de la violation. Si votre entreprise/organisation est un sous-traitant des données, elle doit notifier chaque violation de données au responsable du traitement des données.
Si la violation de données engendre un risque élevé pour les personnes affectées, ces dernières devraient alors également en être informées à moins que des mesures de protection techniques et organisationnelles efficaces ou d’autres mesures qui garantissent que le risque n’est plus susceptible de se matérialiser aient été prises.
En tant qu’organisation, il est essentiel de mettre en œuvre des mesures techniques et organisationnelles appropriées pour éviter d’éventuelles violations de données.
Exemples
L’organisation doit notifier l’APD et les personnes concernées
Les données des employés d’une entreprise textile ont été divulguées. Ces données comprenaient les adresses personnelles, la composition du ménage, le salaire mensuel et les demandes de remboursement des frais médicaux de chaque employé. Dans ce cas, l’entreprise textile se doit d’informer l’autorité de contrôle de cette violation. Étant donné qu’il s’agit de données à caractère personnel sensibles, telles que des données liées à la santé, l’entreprise doit également en informer ses employés.
Un employé d’un hôpital décide de copier les renseignements relatifs aux patients sur un CD et les publie en ligne. L’hôpital l’apprend quelques jours plus tard. Dès que l’hôpital le découvre, il dispose de 72 heures pour informer l’autorité de contrôle et, étant donné que les renseignements personnels contiennent des informations sensibles sur les patients (patient atteint d’un cancer, patiente enceinte...), il doit également les en informer. Dans ce cas, il est douteux que l’hôpital ait mis en œuvre les mesures de protection techniques et organisationnelles appropriées; s’il l’avait fait (par exemple en chiffrant les données), le risque n’aurait pas été susceptible de se matérialiser et l’hôpital ne devrait pas notifier ses patients.
L’entreprise doit notifier ses clients et ils peuvent ensuite notifier l’APD et les personnes concernées
Un service dans le nuage perd plusieurs disques durs contenant des données à caractère personnel appartenant à plusieurs clients. Il doit notifier ces clients dès qu’il prend connaissance de cette violation. Ses clients doivent notifier l’APD et les personnes concernées selon les données traitées par le sous-traitant.
Références
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.