Violations de données personnelles : le chronomètre de 72 heures et la piste des preuves
Comment trier les incidents, évaluer les risques, décider de la notification de l'autorité et de la personne concernée, et prouver la réponse.
Résumé opérationnel
La gestion des violations commence par le triage et non par la panique.L'horloge de 72 heures doit être visible là où une notification peut être requise.Les décisions de non-notification nécessitent toujours des preuves.Une violation de données personnelles n’est pas seulement un événement de cybersécurité. Il peut s’agir d’un e-mail mal acheminé, d’un appareil perdu, d’un mauvais accès au portail, d’un fichier exposé, d’un incident de ransomware ou d’une divulgation accidentelle.
La pression opérationnelle vient du délai de notification de 72 heures où une violation doit être notifiée à l'autorité de contrôle. Le bureau a besoin d’un tri rapide, d’une saisie des preuves, d’un confinement et d’une évaluation documentée des risques pour les droits.
Même en l’absence de notification, le bureau doit tenir un registre des violations indiquant les faits, l’évaluation des risques, le décideur, les mesures correctives et le suivi.
s'applique
Ce guide s'adresse aux bureaux qui doivent répondre aux incidents liés aux données personnelles, depuis les documents mal acheminés jusqu'aux cyberévénements.
- E-mails de mauvais destinataire
- Ordinateurs portables ou téléphones perdus
- Erreurs d'accès au portail
- Ransomware ou compromission de compte
- Fichiers papier ou périphériques USB perdus pendant le transport
contexte
Les obligations en cas de violation du RGPD nécessitent une évaluation des risques et, le cas échéant, une notification à l'autorité de contrôle sans retard injustifié et dans les délais appropriés.
Même lorsqu’aucune notification n’est requise, l’organisation doit conserver un registre interne des violations montrant l’évaluation et les mesures correctives.
faire
Le bureau devrait transformer cette obligation en un flux de travail reproductible avec des propriétaires nommés, des délais, des preuves et des décisions révisables.
- Ouvrez immédiatement un enregistrement d'incident.
- Capturez les faits et les catégories de données concernées.
- Contenir l’incident.
- Évaluer les risques pour les droits et libertés.
- Décidez de l’autorité et de la notification à la personne concernée.
- Enregistrer la correction et la clôture.
preuve
Le registre des violations doit indiquer les dates, les faits, l'évaluation des risques, le décideur, les notifications, les mesures correctives et les enseignements tirés.
Erreurs fréquentes relevées par les autorités
- En supposant que seuls les hacks constituent des violations.
- Attendre une certitude totale avant d’ouvrir un dossier.
- Il manque l'horloge de notification.
- Ne pas documenter pourquoi la notification n'était pas requise.
Checklist pratique
- Consigner l'incident.
- Démarrer l'horloge.
- Contenir l’exposition.
- Évaluez le risque.
- Décidez de la notification.
- Enregistrer la correction.
- Fermez et examinez les contrôles.
- Crée des enregistrements de violation avec des horloges de délais.
- Guide l’évaluation des risques pour les droits.
- Enregistre les décisions de notification du DPA et des personnes concernées.
- Transforme les problèmes de violation non résolus en assurance.
Questions fréquentes
Un e-mail mal acheminé constitue-t-il une violation ?
Cela peut être le cas, en fonction des données et du destinataire. Il convient de les trier plutôt que de les ignorer.
Toutes les violations nécessitent-elles une notification aux autorités ?
Non. La décision dépend du risque, mais l’évaluation doit être documentée.
Et si les faits étaient incomplets ?
Ouvrez le dossier, contenez le problème et mettez à jour l'évaluation à mesure que les faits deviennent disponibles.
Références officielles
Du savoir à la conformité
Lire est un début. Sceau transforme ces obligations en un flux qui s'exécute et se prouve tout seul.
Réserver une démo