017 – Procédure de notifications des violations

Dans le cadre de votre obligation générale de sécurité, vous êtes tenus de mettre une procédure à suivre en cas de violation de données* (cf. voir plus).

Dans le cadre de votre obligation générale de sécurité, vous êtes tenus de mettre en place des mesures pour prévenir d’éventuelles violations de données* et réagir de manière appropriée en cas d’incident.

Il est dès lors recommandé que les organismes qui traitent des données personnelles (responsable du traitement ou sous-traitant) prévoient et mettent en place des procédures globales en matière de violation de données personnelles. Ces procédures doivent concerner l’ensemble du processus : la mise en place de mesures visant à détecter immédiatement une violation, à l’endiguer rapidement, à analyser les risques engendrés par l’incident et à déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées. Ces procédures participent ainsi à la documentation de la conformité au RGPD.

https://notifications.cnil.fr/notifications/index

Il est nécessaire de prévoir que le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, et d’indiquer les modalités de cette notification.

*Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.