RGPD - Que faire en cas d'incident de sécurité ?

L’adhérent FFB doit, en principe, en sa qualité de responsable de traitement, notifier la violation des données à la CNIL.

Il n’est pas nécessaire de procéder à la notification si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques (par exemple : les données n’ont pas un degré important de sensibilité ou sont illisibles en raison de la mise en place d’un procédé de cryptage).

 

Par contre, il faudra enregistrer la violation dans un registre dédié.

 

Que doit contenir la notification ?

 

Le document doit ainsi contenir :

• la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• les conséquences probables de la violation des données personnelles ;
• les mesures prises ou que l’adhérent FFB propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

 

Il peut arriver que les informations détaillées ci-dessus ne soient pas toutes disponibles au moment de la notification, c’est pourquoi le RGPD autorise à échelonner dans le temps la fourniture des informations requises.

 

Il faudra également documenter, dans un registre dédié, toute violation des données à caractère personnel, en décrivant les faits et les mesures qui ont été prises afin de permettre à la CNIL de vérifier que l’adhérent FFB a bien respecté ses obligations.