Que faire en cas de violation de données personnelles ? Guide complet
Transferts des données vers les Etats-Unis : une possible annulation du Data Privacy Framework sous l'administration Trump ?
Bonjour,
Bienvenue sur notre newsletter DÉCODE RGPD de Mon Expert Du droit et Mon Expert RGPD.
Si nos insights et conseils vous sont utiles, n'hésitez pas à partager cette newsletter avec vos collègues et amis. Ils peuvent s'inscrire facilement ici.
Au programme :
🤔 Les bases de données publiques ? Mon entreprise peut les réutiliser librement !
Que faire en cas de violation de données personnelles ? Guide complet
Transferts de données UE - USA : vers l’annulation de la décision d’adéquation sous Trump ?
Mythes et préjugés 🤔
On décode ensemble les fausses croyances liées au RGPD !
Les bases de données publiques ? Mon entreprise peut les réutiliser librement !
Pas vraiment.
En tant qu’entreprise, vous pensez peut-être que les bases de données publiques sont libres d’utilisation. Mais attention : leur constitution peut être illégale ou elles peuvent contenir des données personnelles (de particuliers ou de professionnels). Plusieurs précautions devront donc être adoptées avant de pouvoir les réutiliser.
💻 Quelles bases de données sont concernées ?
Dès que vous réutilisez des données publiques contenant des informations personnelles, le RGPD s’applique. Cela concerne :
Les données de particuliers (noms, e-mails, etc.).
Les données de professionnels (coordonnées professionnelles), si elles permettent d’identifier une personne.
👉 Quelles vérifications effectuer avant de pouvoir réutiliser une base de données ?
Avant de réutiliser des données, il faudra tout d'abord procéder à quelques vérifications :
D’où viennent les données ? Si la source n’est pas indiquée, mieux vaut ne pas l’utiliser.
Ont-elles été obtenues légalement ? Si elles proviennent d’un vol ou d’une fuite (par exemple sur le dark web), leur utilisation est interdite.
La légalité de la base de données est-elle claire ? Certaines données, comme la géolocalisation non anonyme, ne peuvent pas être diffusées sans consentement.
Contiennent-elles des informations sensibles ? Si oui, il faudra s’assurer que le consentement explicite des personnes concernées ait été recueilli.
Si la base de données est bien conforme au RGPD, vous pourrez réutiliser la base de données. Il faudra toutefois respecter quelques principes.
✅ Quelles règles faut-il respecter pour réutiliser une base de données ?
Identifier une base légale pour la réutilisation de cette base de données
Recueillir le consentement explicite des personnes concernées pour le traitement
Réaliser une analyse d'impact peut aussi être pertinent
La CNIL recommande par ailleurs de conclure un accord avec le détenteur de la base de données. Cela permettra de s'assurer que la réutilisation des données est bien licite.
En résumé : les bases de données publiques ne sont pas libres d'utilisation. Il faudra vérifier qu'elles aient été constituées de manière légale et s'assurer que votre propre traitement de cette base de données respecte bien les principes-clés du RGPD.
Conseil pour les entreprises 🔎
Dans cette rubrique, découvrez des guides, articles, conseils et tutoriels spécifiques aux enjeux liés à la protection des données rencontrés par les entreprises !
Que faire en cas de violation de données personnelles ? Guide complet
De nombreuses structures sont affectées chaque année par des violations de données. Au vu des risques engendrés par ces violations, tant pour les entreprises concernées que pour les citoyens, il est primordial pour tous les organismes traitant des données personnelles de mettre en place des mesures préventives et de réagir efficacement en cas de violation.
Quelles sont les différentes étapes en cas de violation de données ? Quelles actions mettre en place pour limiter les risques et assurer une protection adéquate des données ? On vous explique tout !
💡 La notion de violation de données personnelles
Avant d’examiner la procédure à suivre, il est nécessaire de comprendre ce qu’est une violation de données personnelles et pourquoi il est important pour les structures de prendre au sérieux une telle éventualité.
Qu’est-ce qu’une violation de données ?
Une violation de données est tout incident de sécurité qui compromet l’intégrité, la confidentialité ou la disponibilité de données personnelles.
Il existe à ce titre 3 types de violations de données :
Une violation d’intégrité : dans cette hypothèse, des altérations ou modifications ont été réalisées. C’est par exemple le cas si un individu parvient à accéder à une base de données scolaires et modifie les résultats obtenus par les élèves
Une violation de confidentialité : c’est une divulgation ou un accès à des données à caractère personnel.
Une violation de disponibilité : des données personnelles ont été détruites ou perdues. Il y aura ainsi une violation de disponibilité des données en cas de perte d’une clé USB contenant une copie de la base clients d’une société
Ces violations peuvent être dues à une erreur humaine, un acte malveillant, une défaillance technique ou toute autre circonstance qui compromet la sécurité des données.
Quelles conséquences en cas de violation ?
Une violation de données peut avoir de lourdes conséquences pour une entreprise : perte du patrimoine informationnel de l’entreprise, fuite de données confidentielles, amendes, perte de confiance des clients et des partenaires pour n’en citer que quelques-unes. Il est donc primordial pour les TPE et PME de se préparer afin de pouvoir réagir efficacement en cas de violation.
📌 Anticipation de la violation
Plusieurs mesures peuvent être mises en œuvre en amont afin de prévenir et de limiter les impacts de la violation.
Désignation d’un Délégué à la Protection des Données (DPO)
Même si toutes les structures ne sont pas tenues de désigner un DPO, il est fortement recommandé d’en nommer un. Celui-ci pourra en effet non seulement vous aider dans la mise en conformité de votre structure mais aussi vous accompagner afin de réagir rapidement en cas de violation de données.
Établissement de procédures internes
Des procédures doivent être élaborées en interne afin de détailler les modalités d’alerte en cas de violation, leur traitement ainsi que les actions à adopter.
Mise en place de mesures organisationnelles et techniques
Des mesures organisationnelles et techniques peuvent être mises en place avant toute violation de données.
En ce qui concerne les mesures techniques, il est fortement conseillé d’homologuer vos systèmes d’information (SI). Cela permettra d’attester que vos SI assurent un certain niveau de protection des informations. Effectuez par ailleurs des analyses de risques régulières afin de minimiser les risques.
Pour les mesures organisationnelles, il s’agira de former et de sensibiliser le personnel afin qu’il puisse reconnaitre et signaler les incidents.
Quelles sont les mesures à adopter en cas de violation de données ? Quand est-ce que la violation devra être notifiée à la CNIL et aux personnes concernées ?
Toutes les réponses à vos questions dans notre article !
Point sur l’actu 🗓
Dans cette rubrique, découvrez le résumé de l’actualité liée au RGPD et à la protection des données personnelles !
Transferts de données UE – USA : vers l’annulation de la décision d’adéquation sous Trump ?
Les TPE et PME ont souvent des relations commerciales avec des entreprises américaines. Ainsi, les transferts de données personnelles entre l’Union Européenne et les États-Unis sont très fréquents. Ceux-ci sont actuellement encadrés par le Data Privacy Framework (DPF). Or, l’élection récente du président Trump risque d’affecter le cadre instauré par cette décision d’adéquation.
Quels seraient les impacts concrets pour les entreprises qui transfèrent des données vers les Etats-Unis en cas d’annulation de la décision d’adéquation ? Quelles sont les solutions ? On vous explique tout !
👀 Le contexte
Le Réglement général sur la protection des données (RGPD) prévoit que les entreprises peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) uniquement si ce pays garantit un niveau de protection des données suffisant et approprié.
Les Etats-Unis n’ont pas de réglementation fédérale sur la protection des données. C’est la raison pour laquelle plusieurs décisions d’adéquation ont été adoptées au fil des années afin de faciliter ces échanges (Safe Harbor et Privacy Shield). Le mécanisme de la décision d’adéquation permet d’échanger des données avec un certain pays sans qu’il soit nécessaire d’appliquer des mesures supplémentaires (comme des clauses contractuelles types, des Binding Corporate Rules etc.) pour encadrer le traitement. La dernière décision d’adéquation en date est le Data Privacy Framework. Il est donc actuellement possible d’échanger des données avec des entreprises américaines ayant adhéré au DPF sans mettre en place des garanties supplémentaires.
Cette décision instaure un cadre de protection précis :
un système d’auto-certification des entités américaines
des possibilités de recours pour les citoyens européens
des obligations de transparence et de sécurité pour les entreprises américaines qui y adhérent
une cour de contrôle de la protection des données (Privacy and Civil Liberties Oversight Board) qui garantit l’exercice des recours et le respect des droits des européens
Pourquoi la décision d’adéquation pourrait être annulée sous Trump
Donald Trump a récemment mis fin au mandat de tous les membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB). Il ne reste ainsi actuellement qu’un seul membre. Le président de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) a ainsi souligné que la cour ne présentait plus le quorum nécessaire pour pouvoir fonctionnner correctement et a invité la Commission européenne à réévaluer le Data Privacy Framework.
➡️ Conséquences concrètes pour les entreprises européennes
Si vous réalisez des transferts de données avec les Etats-Unis, ceux-ci pourraient être compromis si vous n’avez pas prévu de garanties supplémentaires.
C’est la raison pour laquelle l’autorité de protection des données norvégienne a récemment publié un communiqué dans lequel elle conseille aux entreprises européennes qui réalisent de tels transferts d’anticiper une éventuelle annulation et de préparer dès maintenant une stratégie car elles risquent de ne plus pouvoir transférer des données vers les Etats-Unis de la même façon qu’aujourd’hui.
Il existe plusieurs solutions pour continuer à transférer des données vers les Etats-Unis même si la décision d’adéquation était abrogée.
Quelles sont les solutions concrètes que peuvent adopter les entreprises pour continuer de transférer des données vers les Etats-Unis ?
La réponse dans notre article !
Merci de lire Décode RGPD 🇪🇺
❤️ Cette newsletter vous a plu ? N’hésitez pas à nous l’indiquer en appuyant sur le coeur situé en dessous du titre. Cela nous aide grandement à être référencés.
🔁 Ce post est public, n'hésitez donc pas à le partager.