Qu’est-ce qu’une violation de donnees ?
Une violation de donnees est toute atteinte a la securite entrainant :
- La destruction de donnees personnelles (ex : ransomware chiffrant votre base de donnees)
- La perte de donnees personnelles (ex : ordinateur portable vole, cle USB egaree)
- La modification de donnees personnelles (ex : pirate modifiant des dossiers clients)
- La divulgation ou l’acces non autorise (ex : e-mail envoye par erreur, piratage de votre CRM)
Il n’est pas necessaire qu’il s’agisse d’une attaque spectaculaire. Les violations les plus courantes pour les PME sont quotidiennes :
- Un employe envoie une liste de clients a la mauvaise adresse e-mail
- Un ordinateur portable avec des dossiers du personnel non chiffres est vole
- Un ancien employe conserve l’acces au CRM apres son depart
- Des donnees clients sont partagees dans un groupe WhatsApp
Les trois etapes en cas de violation
Etape 1 : Evaluez le risque
Toute violation ne doit pas etre signalee. La question cruciale : cette violation presente-t-elle probablement un risque pour les droits et libertes des personnes concernees ?
Probablement A SIGNALER :
- Donnees financieres, dossiers medicaux, numeros d’identification divulgues
- Identifiants de connexion divulgues
- Donnees de groupes vulnerables (enfants, patients)
- Grand nombre de personnes concernees
Probablement PAS A SIGNALER :
- Cle USB perdue avec donnees entierement chiffrees
- Bref acces non autorise sans copie ni modification de donnees
En cas de doute ? Signalez. Une notification inutile n’a pas de consequences ; une notification manquee peut entrainer une amende.
Etape 2 : Signalez a l’autorite de controle (dans les 72 heures)
Si vous decidez de signaler, vous avez 72 heures apres la decouverte.
| Pays | Autorite | Comment |
|---|---|---|
| Belgique | APD | Formulaire en ligne |
| France | CNIL | Formulaire en ligne |
| Pays-Bas | AP | Bureau de signalement |
Modele : Notification de Violation
Un formulaire de notification avec tous les champs obligatoires, plus un modele pour informer les personnes concernees.
Voir le modele arrow_forwardEtape 3 : Informez les personnes concernees (si risque eleve)
Si la violation presente un risque eleve, informez les personnes concernees :
- Ce qui s’est passe
- Quelles donnees sont concernees
- Ce que vous avez fait
- Ce qu’elles peuvent faire elles-memes
Le registre des violations
Chaque violation doit etre enregistree, meme non signalee a l’autorite de controle.
Erreurs courantes
- “Ce n’etait qu’un e-mail” - un e-mail mal envoye est aussi une violation
- Privilegier l’enquete interne au signalement - commencez la notification dans les 72 heures
- Ne pas informer les personnes concernees en cas de risque eleve
- Ne pas tenir de registre des violations
- Considerer les groupes WhatsApp comme securises
Prevention vaut mieux que signalement
- Chiffrez ordinateurs portables et cles USB
- Limitez l’acces aux donnees personnelles
- Utilisez des mots de passe forts et la 2FA
- Formez vos employes
- Supprimez les comptes des employes partants immediatement
GDPRWise identifie automatiquement quelles donnees personnelles vous collectez et avec qui vous les partagez.