Registre des incidents (B)
Qu'est-ce qu'une violation de données à caractère personnel ?
Pour qu'il y ait violation, 3 conditions doivent être réunies :
- Vous avez mis en œuvre un traitement de données personnelles.
- Ces données ont fait l’objet d'une violation (destruction, perte, altération, divulgation ou un accès non autorisé à des données personnelles, de manière accidentelle ou illicite).
- Cette violation est intervenue dans le cadre de votre activité de fourniture de services de communications électroniques(par exemple, lors de la fourniture de votre service de téléphonie ou d'accès à d'internet).
Que va faire la CNIL ?
Dès réception, la CNIL va instruire la notification. La procédure relative à la violation notifiée pourra être clôturée si la CNIL constate que :
La violation ne porte pas atteinte aux données personnelles ou à la vie privée des personnes (pour vous permettre d'auto-évaluer le niveau de gravité de la violation, la CNIL met à votre disposition un outil d'analyse).
Vous avez correctement informé les personnes concernées.
Vous avez mis en place, préalablement à la violation, des mesures techniques de protection appropriées.
La CNIL pourra vous imposer d'informer les personnes concernées si elle constate que :
Vous ne les avez pas correctement informées.
Les mesures techniques de protection que vous avez mises en place préalablement à la violation ne sont pas appropriées.
La CNIL dispose d'un délai de 2 mois pour vérifier le caractère approprié ou non de ces mesures techniques. En l'absence de retour de la CNIL dans ce délai, vous devrez considérer que les mesures ne sont pas appropriées et vous devrez immédiatement informer les personnes de la violation. Si vous essayez d'écrire pour une audience large et générale, votre histoire sonnera fausse et fade. Personne ne sera intéressé. Ecrivez-la pour une personne. Si elle est authentique pour une personne, elle le sera pour les autres.
Identification
Identification du responsable de traitement
Personne à contacter pour obtenir des informations complémentaires
Type de notification
Informations principales
Date de la violation
Date de constatation de la violation
Circonstances de la violation (cocher au moins une case)
Nature et teneur des données à caractère personnel concernées:
Mesures techniques et organisationnelles appliquées par le responsable de traitement à la violation de données à caractère personnel
Mesures de protection technologiques appropriées mises en oeuvre, préalablement à la violation, pour rendre les données
incompréhensibles à toute personne non autorisée à y avoir accès :
(décrire ces mesures et les dispositions prises pour leur conférer une pleine efficacité)
Le cas échéant, références du dossier de formalités accomplies auprès de la CNIL préalablement à la mise en oeuvre du traitement et dans lequel ces mesures sont décrites :
Autres mesures préventives mises en oeuvre :
Mesures prises par le responsable de traitement en réaction immédiate à la violation :
Recours à un tiers pour fournir le service concerné par la violation
Informations supplémentaires
Informations sur la violation
Lieu de la violation :
Supports des données concernées par la violation (serveur, poste fixe, ordinateur portable, disque de sauvegarde,
document papier...)
Nombre de personnes concernées par la violation
Conséquences potentielles en cas de perte de confidentialité: :
Les données ont été, ou pourraient vraisemblablement être (il est possible de cocher plusieurs cases) :
Conséquences potentielles en cas de perte d’intégrité: :
Les données ont été, ou pourraient vraisemblablement être (il est possible de cocher plusieurs cases) :
Conséquences potentielles en cas de perte de disponibilité :
Les données ont été, ou pourraient vraisemblablement être (il est possible de cocher plusieurs cases) :
Préjudices potentiels (impacts sur les personnes concernées)
Estimation du niveau de la gravité (choisir le niveau le plus approprié au vu de la description et des exemples) :
Négligeable | Limité | Important | Maximal | |
---|---|---|---|---|
Description du niveau | ||||
Préjudices potentiels représentatifs du niveau |