Une fuite de données est appelée, dans le RGPD, une violation de données à caractère personnel et est définie comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données (art. 4, 12) RGPD).
L’article 33 du RGPD exige du responsable du traitement qu’il notifie la fuite de données à l’autorité de contrôle 72 heures au plus tard après en avoir pris connaissance. En Belgique, il s’agit de l’Autorité de Protection des Données (APD).
La notification d’une fuite de données n’est pas obligatoire lorsque la fuite de données ne présente probablement pas un risque pour les droits et libertés des personnes. Tel sera par exemple le cas lorsqu’il s’agit de données qui appartiennent déjà au domaine public ou de données qui sont suffisamment cryptées et que le responsable du traitement dispose d’un backup de ces données.
La fuite de données ne doit pas être notifiée à l’APD, si elle n’engendre aucun risque pour les droits et libertés des personnes.
Peuvent engendrer un risque ou risque élevé, les fuites de données susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier, si :
- Le traitement donne lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de « pseudonymisation » ou à tout autre dommage économique ou social important ;
- Les personnes concernées peuvent être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ;
- Le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes ;
- Des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels ;
- Le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants ;
- Le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
La fuite de données doit être enregistrée dans le registre approprié, et faire l’objet d’une analyse.
Pour en savoir plus contactez nous…
