Principe général
Une violation de données est un incident de sécurité, d’origine illicite ou accidentelle, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données personnelles.
En cas de violation de données personnelles, le responsable de traitement notifie la violation à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Lorsqu’une violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement communique la violation de données à ces personnes dans les meilleurs délais.
Le responsable de traitement documente toute violation de données personnelles, en précisant la nature de l’incident, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect de la règlementation.
Principe appliqué au service
Le service a mis en place une procédure de gestion des violations de données personnelles. Tout incident impliquant des données personnelles fait l’objet d’une détection, d’une évaluation et, si nécessaire d’une notification à la CNIL et/ou aux personnes concernées.
Le personnel du service est sensibilisé aux différentes sources de risques portant sur les données personnelles et des moyens dont il dispose pour signaler un incident.