OPH de la MeuseActualitésNewsletter #6 : Que faire en cas de violation de données ?

Newsletter #6 : Que faire en cas de violation de données ?

Les failles de sécurité n’arrivent pas qu’aux autres !

Le risque de fuite des données personnelles que nous traitons au quotidien sur nos PC, nos téléphones portables, nos supports papiers n’est pas à négliger.

Le Règlement européen sur la protection des données « RGPD » oblige désormais toutes sociétés et organismes qui traitent des données personnelles à mettre en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d’incident. Ces obligations du RGPD visent à éviter qu’une violation cause des dommages ou des préjudices à l’OPH DE LA MEUSE comme aux personnes concernées (clients, collaborateurs, etc.). Néanmoins si un tel événement devait se produire, voici les bons réflexes à avoir :

ÉTAPE 1 : Reconnaître une violation de données personnelles.

La première condition réside dans le champ d’application de la violation. Il s’agit donc de savoir si des données personnelles sont concernées par ladite violation. Pour rappel, une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable.

Pour qu’il y ait violation de donnée à caractère personnel il faut que 3 conditions soient remplies :

  • Vous avez mis en œuvre un traitement de données personnelles
  • Ces données ont fait l’objet d’une violation (destruction, perte, altération, divulgation ou un accès non autorisé à des données personnelles, de manière accidentelle ou illicite)
  • Cette violation est intervenue dans le cadre de votre activité

Qu’entend-on exactement par violation ?

  • Une perte d’intégrité : les données ont été modifiées par un tiers non autorisé (altération des données)
  • Une perte de disponibilité : les données sont temporairement indisponibles suite à un piratage ou elles ont complètement disparu (perte, suppression accidentelle, destruction des données)
  • Une perte de confidentialité : les données ont été compromises, volées ou divulguées à des personnes non autorisées de manière accidentelle ou illicite (vol d’ordinateur, de téléphone, perte d’une clé USB contenant des données personnelles …)

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données.

ÉTAPE 2 : Information du RSSI et du DPO

En cas de violation de données à caractère personnel, signalement interne immédiat : auprès des Référents RGPD et du service informatique :

Le courriel, intitulé « Constat de violation de données » devra comporter :

  • Un descriptif de la violation constatée,
  • L’heure de survenance (le cas échéant),
  • Les catégories données potentiellement impactées.


Nous comptons sur vous ! Toute violation implique, d’une part de prendre les mesures nécessaires pour rétablir la sécurité, mais également, de notifier l’incident aux autorités de contrôle dans un délai maximal de 48H !

Une question ? Adressez-vous à vos référents RGPD pour toute question :