Le CEPD publie des nouvelles recommandations pratiques sur les notifications de violations de données personnelles

Le CEPD publie des nouvelles recommandations pratiques sur les notifications de violations de données personnelles

Le Comité européen à la protection des données (« CEPD ») a récemment publié un nouveau projet de lignes directrices sur la notification des violations de données personnelles.

Ces nouvelles lignes directrices pratiques viennent compléter les lignes directrices précédentes et plus générales sur le même sujet qui ont été publiées par le CEPD, encore le groupe de travail « article 29 », en octobre 2017 (voir ici pour plus de détails)

Bien qu’assez complètes, les lignes directrices précédentes manquaient de détails pratiques à certains égards dans la mesure où elles avaient été rédigées lorsque les autorités et les organisations n’avaient pas beaucoup d’expérience en matière de notification des violations de données à caractère personnel. Plus de deux ans plus tard, le CEPD a ainsi décidé de fournir des lignes directrices proposant d’exemples pratiques tirés de leur expérience.

CEPD – Assemblée Pléniaire : lignes directrices sur la protection dès la conception et par défaut, création du cadre d’action coordonnée et une lettre sur la directive droit d’auteur

CEPD – Assemblée Pléniaire :  lignes directrices sur la protection dès la conception et par défaut, création du cadre d’action coordonnée et une lettre sur la directive droit d’auteur

Le Comité européen à la protection des données (CEPD), regroupant toutes les autorités de protection des données de l’UE, s’est réuni pour sa 40e session plénière le 21 octobre. Au cours de cette réunion, le CEPD : a adopté la

UK : Amende de £18,4 millions pour Marriot suite à une cyber-attaque

UK : Amende de £18,4 millions pour Marriot suite à une cyber-attaque

Par décision du 30 octobre 2020, l’ICO (l’autorité britannique de protection des données) a infligé une amende de 18,4 millions de livres sterling à Marriott International Inc. pour non-respect de son obligation RGPD de sécurité.

Cette décision fait suite à une cyber-attaque contre Starwood, une société acquise par Marriot en 2016, notifiée à l’ICO en 2018. L’enquête de l’ICO a permis de remonter à l’origine de la cyber-attaque en 2014. Elle concernait les informations personnelles de millions de clients, notamment les détails de leur réservation, les détails de leur carte de paiement et leur numéro de passeport.