Notification de violation de données personnelles à l’autorité

Une violation de données est un événement des plus graves avec des répercussions graves potentielles à la fois pour l’entreprise et l’une des personnes concernées. Votre entreprise doit en informer l’autorité de contrôle dans les meilleurs délais et au plus tard dans les 72 heures après avoir pris connaissance de l’infraction. Si votre entreprise est un processeur de données, elle doit également notifier toute violation de données au responsable du traitement.

La notification doit:

• décrire la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés
• communiquer le nom et les coordonnées du délégué à la protection des données ou de tout autre point de contact auprès duquel des informations complémentaires peuvent être obtenues
• décrire les conséquences probables de la violation de données personnelles
• décrire les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, des mesures pour en atténuer les effets négatifs éventuels.

Lorsque, et dans la mesure où, il n’est pas possible de fournir les informations en même temps, les informations peuvent être fournies par étapes sans autre retard indu.

En outre, le responsable du traitement est tenu de documenter toute violation de données personnelles, comprenant les faits relatifs à la violation de données personnelles, ses effets et les mesures correctives prises. Cette documentation permet à l’autorité de contrôle de vérifier le respect de ses exigences en matière de notification des violations.

Si la violation de données présente un risque élevé pour les personnes concernées, celles-ci les individus concernés doivent tous également être informés, à moins qu’il n’y ait des mesures de protection organisationnelles qui ont été mises en place ou d’autres mesures garantissant que le risque n’est plus susceptible de se matérialiser.