Le CEPD publie des nouvelles recommandations pratiques sur les notifications de violations de données personnelles

Le CEPD publie des nouvelles recommandations pratiques sur les notifications de violations de données personnelles

Le Comité européen à la protection des données (« CEPD ») a récemment publié un nouveau projet de lignes directrices sur la notification des violations de données personnelles.

Ces nouvelles lignes directrices pratiques viennent compléter les lignes directrices précédentes et plus générales sur le même sujet qui ont été publiées par le CEPD, encore le groupe de travail « article 29 », en octobre 2017 (voir ici pour plus de détails)

Bien qu’assez complètes, les lignes directrices précédentes manquaient de détails pratiques à certains égards dans la mesure où elles avaient été rédigées lorsque les autorités et les organisations n’avaient pas beaucoup d’expérience en matière de notification des violations de données à caractère personnel. Plus de deux ans plus tard, le CEPD a ainsi décidé de fournir des lignes directrices proposant d’exemples pratiques tirés de leur expérience.

Notification des violations de données personnelles

Notification des violations de données personnelles

En vertu du règlement général sur la protection des données (GDPR), lorsqu’une violation de données personnelles se produit, les responsables de traitement doivent notifier:

L’autorité de contrôle concernée lorsque la violation peut entraîner un risque pour les droits et la libertés des personnes concernées;

Les personnes concernées lorsque la violation des données à caractère personnel peut entraîner un risque élevé pour leurs droits et libertés.