Conformément au principe d’accountability, une procédure de notification de violation des données devrait être rédigée, tant chez les responsables de traitement que les sous-traitants. Mathias Avocats vous présente – de manière non exhaustive – les étapes clés à détailler dans une telle procédure.

Etape n°1 : Prévoir un système interne de signalement

iot-mathias-avocats-data-breach

Tout rédacteur d’une procédure de notification de violation des données veillera à préciser les modalités internes de signalement d’une violation. Si aucun moyen interne de signalement de violation de données réelle ou supposée n’a été mis à disposition des collaborateurs, la rédaction de la procédure sera l’occasion de créer un mécanisme de signalement.

A titre d’illustration, si un salarié ou agent perd une clé USB sur laquelle se trouvent des données à caractère personnel, il doit pouvoir le signaler de manière rapide et simple.

Etape n°2 : Prévoir une investigation

La seconde étape à détailler dans la procédure porte sur l’investigation en tant que telle. Elle survient donc après le signalement de la violation de données. 

Il s’agit notamment d’indiquer la composition de l’équipe interne qui sera chargée d’investiguer. Dans ce cas, seules les fonctions seront désignées et non des personnes. Par ailleurs, on traitera les situations dans lesquelles il pourra être fait appel à un conseil externe selon la politique interne de la structure. Les modalités de création de la cellule d’investigation seront ainsi précisées, notamment en cas d’urgence. 

Il conviendra de préciser également que l’investigation donnera lieu à un rapport (un modèle peut éventuellement être annexé à la procédure), auquel seules les personnes habilitées pourront accéder.

sécurité

Etape n°3 : Prévoir la mise en oeuvre de mesures correctrices

trade secrets

La troisième étape concernant la mise en œuvre de mesures correctrices et/ou visant à limiter l’impact de la violation de données sur les personnes concernées sera également traitée dans la procédure. 

Ces actions de recherche et de mise en oeuvre de mesures correctrices sont fondamentales car, si une notification à la Cnil devait être réalisée, l’agent qui traitera le dossier pourrait demander des informations complémentaires qu’il vaut mieux avoir déjà sous la main.

Etape n°4 : Prévoir une phase d'évaluation des impacts

Afin de déterminer si une notification à l’autorité de contrôle doit être réalisée, il est nécessaire d’étudier l’impact de la violation à l’égard des personnes concernées. Pour cela, le type de violation ainsi que le caractère sensible ou non des données à caractère personnel seront notamment pris en compte. 

De même, évaluer gravité de la violation de données et le nombre de personnes concernées sera important ; et ce d’autant plus que ces informations sont demandées dans le formulaire de notification en ligne sur le site de la Cnil.

Etape n°5 : Prévoir les modalités de notification

Si les précédentes étapes ont bien été suivies, l’entité qui a subi la violation de données doit non seulement être en mesure de déterminer si une notification est nécessaire ou non, mais également être en possession de tous les éléments nécessaires pour procéder à une notification le cas échéant. Un arbre de décision pourra notamment être inséré dans la procédure.

A noter que cette procédure est à rédiger en lien avec la procédure de gestion des incidents de sécurité qui existe peut-être déjà au sein de la structure.

 

Qu’une violation de données donne lieu ou non à une notification à la Cnil, il sera nécessaire de documenter cet événement en indiquant notamment les causes, les conséquences et les mesures prises pour y remédier, conformément au principe d’accountability et à l’article 33 du RGPD

Dans ce contexte, il conviendra d’expliquer le raisonnement suivi par le responsable de traitement et/ou le sous-traitant aux termes duquel il a décidé de ne pas notifier la violation à l’autorité de contrôle. Cela fera donc l’objet d’un rappel particulier dans le corps de la procédure.

Les éléments essentiels des livrables attendus à l’issue de ces différentes étapes doivent être décrits dans la procédure et des modèles pourront être annexés. En outre, il sera utile de documenter le fait que les agents ou salariés ont été informés de l’existence d’une telle procédure et formés à l’utilisation du mécanisme de signalement des violations de données.

Mathias Avocats se tient à votre disposition pour vous accompagner dans l’élaboration d’une procédure de notification des violations de données, adaptée à la taille et l’activité de votre structure.