Comment traiter une violation de données au plan juridique et technique ?

Comment traiter une violation de données

Il est encore temps de vous inscrire au webinaire « Comment traiter une violation de données au plan juridique et technique ? » animé par Virginie Bensoussan-Brulé et Anthony Sitbon le mercredi 25 janvier 2023 de 9h à 11h en visioconférence (Inscription gratuite).

Une violation de données est définie par la Cnil comme « Tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles ».

L’origine malveillante de ces incidents de sécurité est malheureusement la cause de la plupart des violations de données actuelles.

Les pirates informatiques se sont professionnalisés et font tourner leur « robots malveillants » sur internet pour détecter des failles. Et en face, les sociétés manquent peut-être de moyens pour sécuriser au maximum leur système d’information.

Le défaut de sécurité : principal manquement relevé par la Cnil

À l’occasion de la journée de la protection des données qui a eu lieu en janvier dernier, la Cnil relève que la moitié des sanctions prononcées en 2021 comportait un manquement en lien avec la sécurité des données personnelles.

Par conséquent, ce constat illustre deux choses :

  • « les mesures de sécurité prises par les organismes restent souvent insuffisantes » ;
  • « la Cnil vérifie systématiquement la sécurité des systèmes d’information lorsqu’elle effectue un contrôle ».

L’obligation de notification de violations de données à la Cnil

Rappelons par ailleurs que le RGPD impose au responsable de traitement de :

  • documenter toute violation de données personnelles, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier ;
  • notifier à l’autorité de contrôle toute violation de données personnelles, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ;
  • communiquer à la personne concernée toute violation de données susceptible d’engendrer un risque élevé pour ses droits et libertés.

De même, en janvier dernier, le CEPD a actualisé ses lignes directrices sur les exemples de notification de violation de données personnelles. Elles comportent 18 nouveaux cas pratiques. 

Comment traiter une violation de données ?

  • Avant la violation :
    • d’identifier les facteurs à prendre en compte pour évaluer les risques liés aux violations de données ;
    • d’avoir les bonnes pratiques de sécurité pour minimiser le risque d’une violation de données.
  • Après la violation :
    • d’identifier les bonnes pratiques pour reconstruire son système d’information ;
    • de déterminer si une notification à la Cnil et une communication aux personnes concernées sont nécessaires ;
    • de rassembler les éléments de preuve pour déposer plainte..

Virginie Bensoussan-Brulé est avocate et directrice du pôle Contentieux du numérique de Lexing Alain Bensoussan Avocats. Anthony Sitbon est consultant et dirige le département Sécurité de Lexing Technologies. Il présentera les aspects techniques et les solutions permettant d’assurer la sécurité d’un système d’information.

Inscription

Inscrivez-vous à la visioconférence qui aura lieu le mercredi 25 janvier 2023 de 9h à 11h :

Formulaire

Retour en haut