Selon le règlement RGPD, une violation de données personnelles signifie une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à des données personnelles, qu’elles soient stockées, transmises ou autrement traitées.

Le RGPD vise à garantir que toutes les entreprises prennent les données personnelles au sérieux et les traitent avec le plus grand soin. Une violation de données est un événement des plus graves avec des répercussions graves potentielles à la fois pour l’entreprise et l’une des personnes concernées.

Toutes les entreprises sont tenues de tenir un journal de toutes les violations, même les plus petits incidents doivent être enregistrés. Le journal doit décrire l’incident lui-même, sa cause, ses répercussions, le risque de dommages futurs, les données affectées et les mesures prises pour atténuer les risques de dommages supplémentaires.

Les violations ayant un impact probable sur les droits et libertés des individus doivent être signalé à l’autorité de contrôle et potentiellement les individus affectés.

Il est essentiel que les entreprises mettent en œuvre des mesures techniques et organisationnelles appropriées pour éviter d’éventuelles violations de données. Dans le même temps, les entreprises devront s’assurer que leurs systèmes sont surveillés pour détecter les violations de données. On ne peut pas signaler d’éventuelles violations de données personnelles si l’on n’a aucun moyen de détecter une telle violation. Il existe des logiciels spécialisés pour détecter les intrusions dans le système et vous devez confirmer avec vos fournisseurs de logiciels et vos équipes informatiques que ceux-ci sont déployés pour votre traitement.

Toutes les violations de données ne sont pas causées par des tiers malveillants comme les pirates. Il existe de nombreux exemples de perte accidentelle ou d’accès non autorisé accidentel:

  • Un membre du personnel perd une clé USB contenant des fichiers de données personnelles avec le lecteur ni les fichiers de données en cours de chiffrement
  • Un membre du personnel des ventes publie accidentellement un rapport sur les revenus contenant les noms et les détails financiers des clients sur le site Web public plutôt que sur le site de l’équipe intranet
  • Un membre du personnel joint le mauvais fichier à un e-mail, ce qui entraîne la divulgation accidentelle de données personnelles
  • Un membre du personnel supprime accidentellement les enregistrements des clients, ce qui entraîne la perte de données personnelles

Une culture d’entreprise où la sécurité et la confidentialité des données sont une valeur fondamentale aidera non seulement à prévenir de tels accidents, mais contribuera souvent aussi à minimiser l’impact. Le facteur humain et s’assurer que tout le personnel suit régulièrement des formations de sensibilisation à la sécurité et à la confidentialité est essentiel pour établir le une bonne culture de sécurité et de confidentialité.