Notifications de violations de données personnelles : les recommandations pratiques du CEPD

Notifications de violations de données personnelles : les recommandations pratiques du CEPD

Le Comité européen à la protection des données (« CEPD ») a récemment publié un nouveau projet de lignes directrices sur la notification des violations de données personnelles.

Ces nouvelles lignes directrices pratiques viennent compléter les lignes directrices précédentes et plus générales sur le même sujet qui ont été publiées par le CEPD, encore le groupe de travail « article 29 », en octobre 2017 (voir ici pour plus de détails)

Bien qu’assez complètes, les lignes directrices précédentes manquaient de détails pratiques à certains égards dans la mesure où elles avaient été rédigées lorsque les autorités et les organisations n’avaient pas beaucoup d’expérience en matière de notification des violations de données à caractère personnel. Plus de deux ans plus tard, le CEPD a ainsi décidé de fournir des lignes directrices proposant d’exemples pratiques tirés de leur expérience.

Analyse d’impact relatives à la protection des données (AIPD)

Analyse d’impact relatives à la protection des données (AIPD)

Le réglement général sur la protection des données (RGPD) prévoit que les responsables du traitement doivent: 

– maintenir un registre détaillé de toutes leur activité de traitement de données à caractère personnel (voir ici pour plus de détails sur le registre); et

–  effectuer une évaluation d’impact sur la protection des données (AIPD) lorsque le traitement présente un risque élevé pour la protection des données.

Une AIPD est un processus conçu pour décrire le traitement, évaluer la nécessité et la proportionnalité d’un traitement et aider à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement des données à caractère personnel.

Notification des violations de données personnelles (la théorie)

Notification des violations de données personnelles (la théorie)

En vertu du règlement général sur la protection des données (GDPR), lorsqu’une violation de données personnelles se produit, les responsables de traitement doivent notifier:

L’autorité de contrôle concernée lorsque la violation peut entraîner un risque pour les droits et la libertés des personnes concernées;

Les personnes concernées lorsque la violation des données à caractère personnel peut entraîner un risque élevé pour leurs droits et libertés.

RGPD : Mise à jour des politiques de confidentialité

RGPD : Mise à jour des politiques de confidentialité

Le réglement général sur la protection des données applicable depuis mai 2018 (RGPD) prévoit un contenu détaillé des politiques de confidentialité (c’est-à-dire la notice expliquant aux personnes concernées comment leurs données personnelles sont utilisées).

Ce contenu  et les modalités d’information est quelque peu différent selon que les données sont collectées directement auprès de la personne concernée ou auprès de sources tierces.

Toutefois, les décisions des autorités laissent et de la jurisprudence laisse penser qu’une information complète allant au delà de ce qui est explicitement prévu peut être exigée.

Cet article a pour objectif de mieux appréhender les différentes exigences du RGPD à la lumière des décisions récentes des autorités et de la CJUE concernant le format et le contenu de l’information. (MAJ : 2021)

RGPD : les obligations du responsable de traitement

RGPD : les obligations du responsable de traitement

Le règlement général sur la protection des données  (RGPD) apporte des précisions et renforce les obligations des responsables de traitement, c’est-à-dire, les organisations utilisant des données personnelles à leurs propres fins.

En effet ces obligations (voir ci-dessous), bien que sous entendu par les législations précédentes, sont maintenant explicitées et ont pour but d’assurer plus de transparence et de conformité des opérations de traitements au RGPD.

Le RGPD prévoit des obligations des responsables de traitement envers les  personnes concernées, vis à vis de leur organisation interne et des mesures de contrôle et de conformité à mettre en place et encadre leur relation avec les tiers avec qui il partage les données.